Sun Enterprise Authentication Mechanism 1.0.1 Handbuch Sun Microsystems, Inc. 901 San Antonio Road Palo Alto, CA 94303-4900 U.S.A. Bestellnummer 806-4285 10 März 2000
Copyright 2000 Sun Microsystems, Inc. 901 San Antonio Road, Palo Alto, California 94303-4900 U.S.A. All rights reserved. Dieses Produkt oder Dokument ist durch Urheberrecht geschützt und wird unter Lizenz vertrieben, wodurch seine Verwendung, das Kopieren, der Vertrieb und das Dekompilieren eingeschränkt werden. Kein Teil dieses Produkts oder Dokuments darf in irgendeiner Form durch irgendwelche Mittel ohne vorherige, schriftliche Genehmigung von Sun und ggf. durch seine Lizenzgeber reproduziert werden. Software anderer Hersteller, einschließlich Schriftsatz-Technologie, unterliegt dem Copyright und der Lizenzvergabe durch Lieferanten von Sun. Teile des Produkts können aus Systemen von Berkeley BSD abgeleitet sein, und stehen unter Lizenz der University of California. UNIX ist eine eingetragene Marke in den USA und anderen Ländern und wird von der X/Open Company, Ltd. exklusiv lizensiert. Sun, Sun Microsystems, das Sun-Logo, docs.sun.com, AnswerBook, AnswerBook2, NFS, Java und Solaris sind Marken, eingetragene Marken oder Dienstleistungsmarken von Sun Microsystems, Inc. in den USA und in anderen Ländern. Alle SPARC-Marken werden unter Lizenz verwendet und sind Marken oder eingetragene Marken von SPARC International, Inc. in den USA und in anderen Ländern. Produkte mit den SPARC-Markenzeichen basieren auf einer Architektur, die von Sun Microsystems, Inc. Teile der Software unterliegen dem Copyright von 1996 des Massachusetts Institute of Technology. Alle Rechte vorbehalten. entwickelt worden ist. Die grafische Benutzeroberfläche OPEN LOOK und Sun TM wurde von Sun Microsystems, Inc. für seine Benutzer und Lizenznehmer entwickelt. Sun würdigt die Pionierarbeiten von Xerox bei der Erforschung und Entwicklung des Konzepts visueller und grafischer Benutzeroberflächen für die Computerindustrie. Sun hält eine nicht-exklusive Lizenz von Xerox über die Xerox Graphical User Interface, womit auch die Lizenznehmer von Sun abgedeckt werden, die OPEN LOOK-GUIs implementieren oder auf andere Art den schriftlichen Lizenzvereinbarungen von Sun entsprechen. EINGESCHRÄNKTE RECHTE: Verwendung, Vervielfältigung oder Offenlegung durch die U.S.-Regierung unterliegen den Einschränkungen von FAR 52.227 14(g)(2)(6/87) und FAR 52.227 19(6/87), oder DFAR 252.227 7015(b)(6/95) und DFAR 227.7202 3(a). DIE DOKUMENTATION WIRD WIE BESEHEN ZUR VERFÜGUNG GESTELLT, UND ALLE ANDEREN AUSDRÜCKLICHEN ODER KONKLUDENTEN BEDINGUNGEN, ANGABEN UND GEWÄHRLEISTUNGEN, EINSCHLIESSLICH JEDE KONKLUDENTE GEWÄHRLEISTUNG IM HINBLICK AUF HANDELSÜBLICHKEIT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER NICHTVERLETZUNG VON RECHTEN DRITTER, WERDEN ABGELEHNT, ES SEI DENN, SOLCHE AUSSCHLÜSSE SIND RECHTLICH UNZULÄSSIG. Copyright 2000 Sun Microsystems, Inc. 901 San Antonio Road, Palo Alto, Californie 94303-4900 Etats-Unis. Tous droits réservés. Ce produit ou document est protégé par un copyright et distribué avec des licences qui en restreignent l utilisation, la copie, la distribution, et la décompilation. Aucune partie de ce produit ou document ne peut être reproduite sous aucune forme, par quelque moyen que ce soit, sans l autorisation préalable et écrite de Sun et de ses bailleurs de licence, s il y en a. Le logiciel détenu par des tiers, et qui comprend la technologie relative aux polices de caractères, est protégé par un copyright et licencié par des fournisseurs de Sun. Des parties de ce produit pourront être dérivées du système Berkeley BSD licenciés par l Université de Californie. UNIX est une marque déposée aux Etats-Unis et dans d autres pays et licenciée exclusivement par X/Open Company, Ltd. Sun, Sun Microsystems, le logo Sun, docs.sun.com, AnswerBook, AnswerBook2, NFS, Java, et Solaris sont des marques de fabrique ou des marques déposées, ou marques de service, de Sun Microsystems, Inc. aux Etats-Unis et dans d autres pays. Toutes les marques SPARC sont utilisées sous licence et sont des marques de fabrique ou des marques déposées de SPARC International, Inc. aux Etats-Unis et dans d autres pays. Les produits portant les marques SPARC sont basés sur une architecture développée par Sun Microsystems, Inc.Copyright 1996 des portions du logiciel par Massachusetts Institute of Technology. Tous droits réservés. L interface d utilisation graphique OPEN LOOK et Sun TM a été développée par Sun Microsystems, Inc. pour ses utilisateurs et licenciés. Sun reconnaît les efforts de pionniers de Xerox pour la recherche et le développement du concept des interfaces d utilisation visuelle ou graphique pour l industrie de l informatique. Sun détient une licence non exclusive de Xerox sur l interface d utilisation graphique Xerox, cette licence couvrant également les licenciés de Sun qui mettent en place l interface d utilisation graphique OPEN LOOK et qui en outre se conforment aux licences écrites de Sun. CETTE PUBLICATION EST FOURNIE EN L ETAT ET AUCUNE GARANTIE, EXPRESSE OU IMPLICITE, N EST ACCORDEE, Y COMPRIS DES GARANTIES CONCERNANT LA VALEUR MARCHANDE, L APTITUDE DE LA PUBLICATION A REPONDRE A UNE UTILISATION PARTICULIERE, OU LE FAIT QU ELLE NE SOIT PAS CONTREFAISANTE DE PRODUIT DE TIERS. CE DENI DE GARANTIE NE S APPLIQUERAIT PAS, DANS LA MESURE OU IL SERAIT TENU JURIDIQUEMENT NUL ET NON AVENU. Please Recycle
Inhalt Vorwort 9 1. Einführung zu SEAM 15 Was ist SEAM? 15 Funktionsweise von SEAM 16 Anfangsauthentisierung: Ticket-granting Ticket 17 Nachfolgende Authentisierungen 19 SEAM-basierte Befehle 20 Hauptbenutzer 20 Bereiche 21 Sicherheits-Services 23 Versionen von SEAM 23 Komponenten von SEAM 1.0 24 SEAM-Komponenten in Solaris 8 25 Komponenten von SEAM 1.0.1 25 2. Planungsaspekte für SEAM 27 SEAM-Konfigurationsentscheidungen 27 Bereiche 28 Zuordnen von Hostnamen zu Bereichen 29 Client und Service, Hauptbenutzernamen 29 3
Anschlüsse für die KDC- und Admin-Services 30 Slave-KDC 30 Datenbankvervielfältigung 31 Uhr, Synchronisation 31 SEAM Vorkonfigurationsprozedur 31 3. Konfigurieren von SEAM 33 Aufgabenübersicht für die SEAM-Konfiguration. 33 Konfigurieren von KDC-Servern 35 H So wird ein Master-KDC konfiguriert 36 H So wird ein Slave-KDC konfiguriert 42 Konfigurieren der bereichsübergreifenden Authentisierung 46 H So richten Sie die hierarchische, bereichsübergreifende Authentisierung ein 47 H So richten Sie die direkte bereichsübergreifende Authentisierung ein 48 Konfigurieren der SEAM-Netzwerk-Anwendungsserver 50 H So konfigurieren Sie einen SEAM-Netzwerk-Anwendungsserver 50 Konfigurieren von SEAM NFS-Servern 52 H So werden SEAM NFS-Server konfiguriert 53 H So ändern Sie den serverseitigen Mechanismus für die gsscred-tabelle 55 H So erstellen Sie eine Berechtigungsnachweistabelle 55 H So fügen Sie einen einzelnen Eintrag zur Berechtigungsnachweistabelle hinzu 56 H So richten Sie eine sichere NFS-Umgebung mit mehreren Kerberos-Sicherheitsmodi ein 57 Konfigurieren von SEAM-Clients 59 H So wird ein Slave-KDC konfiguriert 59 Einrichten der Root-Authentisierung für das Einhängen von NFS-Dateisystemen 63 Synchronisieren der Uhren zwischen KDCs und SEAM-Clients 63 H So richten Sie einen NTP-Server ein 65 H So richten Sie einen NTP-Client ein 66 4 Sun Enterprise Authentication Mechanism 1.0.1 Handbuch März 2000
Austauschen von Master- und Slave-KDCs 66 H So wird ein austauschbares Slave-KDC konfiguriert 66 H So werden Master- und Slave-KDC ausgetauscht 69 Verwalten der Kerberos-Datenbank 72 Sichern und Vervielfältigen der Kerberos-Datenbank 73 H So wird die Kerberos-Datenbank gesichert 74 H So wird die Kerberos-Datenbank wiederhergestellt 76 H So wird die Kerberos-Datenbank manuell auf Slave-KDCs vervielfältigt 77 Einrichten der parallelen Vervielfältigung 77 H So richten Sie die parallele Vervielfältigung ein 78 Verwalten der Vorsorgedatei 79 H So entfernen Sie eine Vorsorgedatei 79 Erhöhen der Sicherheit 80 H So aktivieren Sie nur die mit Kerberos ausgestatteten Anwendungen 80 H So schränken Sie den Zugriff für KDC-Server ein 81 4. Fehlermeldungen und Problembehebung für SEAM 83 SEAM-Fehlermeldungen 83 Fehlermeldungen des SEAM-Verwaltungstools 84 Allgemeine SEAM-Fehlermeldungen 85 Allgemeine SEAM-Fehlermeldungen 100 SEAM-Problembehebung 107 Probleme mit dem Format der Datei krb5.conf 108 Probleme beim Vervielfältigen der Kerberos-Datenbank 108 Probleme beim Einhängen eines mit Kerberos ausgestatteten NFS-Dateisystems 109 Probleme beim Authentisieren als root 109 5. Verwalten von Hauptbenutzern und Richtlinien 111 Möglichkeiten der Verwaltung von Hauptbenutzern und Richtlinien 112 Inhalt 5
SEAM-Verwaltungs-Tool 112 Befehlszeilen-Äquivalente des SEAM Tools 113 Mit dem SEAM Tool geänderte Dateien 114 Druckfunktionen und Online-Hilfe des SEAM Tool 114 Arbeiten mit großen Listen im SEAM Tool 115 H Starten des SEAM Tool 116 Verwalten von Hauptbenutzern 118 Aufgabentabelle zur Verwaltung von Hauptbenutzern 118 Automatisieren der Erstellung neuer Hauptbenutzer 120 H Anzeigen der Hauptbenutzerliste 121 H Anzeigen der Hauptbenutzerattribute 123 H Erstellen eines neuen Hauptbenutzers 125 H Duplizieren eines Hauptbenutzers 127 H Ändern eines Hauptbenutzers 128 H Löschen eines Hauptbenutzers 129 H Einrichten von Standardwerten für die Erstellung neuer Hauptbenutzer 130 H Ändern der Kerberos-Verwaltungsberechtigungen 131 Verwalten von Richtlinien 133 Aufgabentabelle zur Verwaltung von Richtlinien 133 H Anzeigen der Richtlinienliste 134 H Anzeigen der Richtlinienattribute 136 H Erstellen einer neuen Richtlinie 138 H Duplizieren einer Richtlinie 140 H Ändern einer Richtlinie 140 H Löschen einer Richtlinie 141 SEAM Tool Referenz 142 SEAM Tool Bildschirmbeschreibungen 142 6 Sun Enterprise Authentication Mechanism 1.0.1 Handbuch März 2000
Verwenden des SEAM Tool mit eingeschränkten Kerberos-Verwaltungsberechtigungen 146 Verwalten von Schlüsseltabellen 149 Aufgabentabelle zur Verwaltung von Schlüsseltabellen 150 H Hinzufügen eines Service-Hauptbenutzers zu einer Schlüsseltabelle 151 H Entfernen eines Service-Hauptbenutzers aus einer Schlüsseltabelle 153 H Anzeigen der Schlüsselliste (Hauptbenutzer) in einer Schlüsseltabelle 154 H Temporäres Deaktivieren der Authentisierung für einen Service auf einem Host 155 6. Verwendung von SEAM 159 Ticket-Verwaltung 160 Müssen Sie sich über Tickets Gedanken machen? 160 H So erstellen Sie ein Ticket 160 H Anzeigen von Tickets 161 H Vernichten von Tickets 163 Passwort-Verwaltung 164 Ratschläge zur Auswahl eines Passworts 164 Ändern eines Passworts 165 Zugriffserlaubnis auf ein Konto 168 SEAM-Befehle 170 Überblick über kerberosfähige Befehle 171 Weiterleiten von Tickets mit Option f oder F 174 Beispiele Verwenden kerberosfähiger Befehle 176 7. SEAM-Referenz 179 SEAM-Dateien 179 PAM-Konfigurationsdatei 181 SEAM-Befehle 182 SEAM-Dämonen 184 SEAM-Terminologie 184 Inhalt 7
Kerberos-spezifische Terminologie 184 Authentisierungsspezifische Terminologie 185 Arten von Tickets 186 Funktionsweise des Authentisierungssystems 191 Zugriff auf einen Service mit SEAM erhalten 192 Erhalten eines Berechtigungsnachweises für den Ticket-granting-Service 192 Erhalten eines Berechtigungsnachweises für einen Server 193 Zugriff erhalten auf einen bestimmten Service 195 Glossar 197 Index 207 8 Sun Enterprise Authentication Mechanism 1.0.1 Handbuch März 2000
Vorwort In diesem Sun TM Enterprise Authentication Mechanism (SEAM) Handbuch wird die Installation, Verwaltung und Verwendung dieses Produkts beschrieben. SEAM stellt eine komplette Implementierung von Kerberos V5 für die Versionen Solaris 2.6 und Solaris 7 bereit. Der größte Teil dieses Buches befasst sich mit den zur Installation, Konfiguration und Verwaltung dieses Produkts notwendigen Schritten. Zusätzlich sind SEAM-Informationen für Benutzer enthalten sowie ein Kapitel mit einer Beschreibung zur Implementierung der RPCSEC_GSS API (Application Programming Interface) aus der Sicht eines Entwicklers. Zielgruppe dieses Buches Dieses Buch ist für folgende Zielgruppen gedacht: 4 Systemverwalter und fortgeschrittene Benutzer, die ein SEAM-Setup installieren, konfigurieren oder verwalten müssen. 4 Jeder, der die von SEAM bereitgestellten Befehle der Benutzerebene verwendet, wie z. B. die SEAM-Versionen von ftp oder rcp. Diese Informationen werden hauptsächlich in Kapitel 6 bereitgestellt. 4 Netzwerk-Programmierer, die an der Entwicklung RPC-basierter Anwendungen interessiert sind und die Vorteile der RPCSEC-GSS-Sicherheitsvariante nutzen möchten. Diese Informationen werden hauptsächlich in ONC+ Developer s Guide. 9
Bevor Sie beginnen Die Informationen für Benutzer erfordern nur grundlegende Kenntnisse zur Solaris-Betriebsumgebung. Die Informationen für Systemverwalter, hauptsächlich bezüglich der Installation, Konfiguration und Verwaltung von SEAM, erfordern fundierte Kenntnisse zur Solaris-Betriebsumgebung, einschließlich der Thematik Netzwerkverwaltung. Der Abschnitt für Entwickler erfordert Kenntnisse zur Verwendung von Remote Procedure Call (RPC). Die Abschnitte zur Installation und Verwaltung erfordern den geübten Umgang mit den Standardprozeduren für die Installation bei Solaris. Aufbau des Buches Kapitel 1 bietet eine Übersicht zu SEAM. Kapitel 2 beschreibt die Fragen, die vor der Installation von SEAM geklärt werden müssen. Kapitel 3 erläutert die Konfiguration von KDC-Servern (Key Distribution Center), SEAM-Netzwerkanwendungs-Servern, SEAM NFS-Servern und SEAM-Clients. Kapitel 4 beschreibt wichtige von SEAM erzeugte Fehlermeldungen und stellt Lösungen zu häufigen Problemen bereit. Kapitel 5 enthält Informationen über die Einrichtung und Verwaltung von Hauptbenutzern, Passwörtern, Richtlinien und anderen Informationen für jede Datenbank eines Kerberos-Bereichs. Außerdem ist eine Einführung zum GUI-basierten SEAM-Tool enthalten, das für diese Aufgaben eingesetzt werden kann. Kapitel 6 stellt Informationen der Benutzerebene zur Verwendung von SEAM bereit, einschließlich der folgenden Funktionen: Tickets empfangen und verwenden, Passwörter wählen und SEAM-basierte Dienstprogramme verwenden, wie z. B. ftp und rlogin. Kapitel 7 beschreibt alle in SEAM enthaltenen Dateien. Drüber hinaus ist eine detaillierte Übersicht über die Funktionsweise von SEAM enthalten. 10 Sun Enterprise Authentication Mechanism 1.0.1 Handbuch März 2000
Weitere Fachliteratur Es folgt eine Liste verwandter Dokumentationen, auf die in diesem Buch verwiesen wird: 4 ONC+ Developer s Guide 4 System Administration Guide, Volume 1 4 System Administration Guide, Volume 2 Bestellen von Sun-Dokumenten Fatbrain.com ist ein Internet-Buchhändler, der ausgewählte Publikationen zu Produkten von Sun Microsystems, Inc. führt. Eine Liste dieser Publikationen sowie Bestellinformationen finden Sie im Sun Documentation Center von Fatbrain.com unter der Adressehttp:// www1.fatbrain.com/documentation/sun. Online-Zugriff auf Sun-Dokumentation Auf der Website docs.sun.com SM können Sie online auf technische Dokumente von Sun zugreifen. Sie können unter docs.sun.com im Archiv blättern oder nach einem spezifischen Buchtitel oder Thema suchen. Der URL lautet http://docs.sun.com. Bedeutung der Richtlinien zur Schreibweise Die folgende Tabelle erläutert die in diesem Handbuch verwendeten Richtlinien zur Schreibweise. Vorwort 11
TABELLE P 1 Richtlinien zur Schreibweise Schrift oder Symbol Bedeutung Beispiel AaBbCc123 AaBbCc123 AaBbCc123 AaBbCc123 Namen von Befehlen, Dateien und Verzeichnissen; Ausgaben des Systems auf dem Bildschirm Ihre Eingabe (im Gegensatz zu Ausgaben des Systems auf dem Bildschirm) Platzhalter für die Befehlszeile: Durch einen tatsächlichen Namen oder Wert zu ersetzen Buchtitel, neue Wörter oder Begriffe sowie hervorzuhebende Wörter. Bearbeiten Sie die Datei.login. Verwenden Sie den Befehl ls a, um alle Dateien aufzulisten. system_name%, Sie haben Post. system_name% su Passwort: Geben Sie rm Dateiname ein, um eine Datei zu löschen. Lesen Sie hierzu Kapitel 6 im Benutzerhandbuch. Diese werden als Klassenoptionen bezeichnet. Sie müssen als root angemeldet sein, um diesen Vorgang durchführen zu können. Shell-Eingabeaufforderungen in Befehlsbeispielen Die folgende Tabelle führt die Standardeingabeaufforderungen des Systems oder des Superusers für die C-Shell, Bourne-Shell und Korn-Shell auf. 12 Sun Enterprise Authentication Mechanism 1.0.1 Handbuch März 2000
TABELLE P 2 Shell-Eingabeaufforderungen Shell C-Shell-Eingabeaufforderung C-Shell-Superuser-Eingabeaufforderung Eingabeaufforderung der Bourne-Shell und Korn-Shell Eingabeaufforderung der Bourne-Shell und Korn-Shell für den Superuser Eingabeaufforderung system_name% system_name# $ # Vorwort 13
14 Sun Enterprise Authentication Mechanism 1.0.1 Handbuch März 2000
KAPITEL 1 Einführung zu SEAM In diesem Kapitel erhalten Sie eine Einführung zu SEAM. Was ist SEAM? SEAM (Sun Enterprise Authentication Mechanism, Sun Enterprise-Authentisierungsmechanismus) bietet eine Client/Server-Architektur, die eine strikte Benutzerauthentisierung, Datenintigrität und Vertraulichkeit bereitstellt, um sichere Transaktionen zwischen Netzwerken zu ermöglichen. Authentisierung garantiert, dass die Identität des Senders und Empfängers einer Netzwerktransaktion echt ist. SEAM kann auch die Gültigkeit von wechselseitig übertragenen Daten verifizieren (Integrität) und diese für die Übertragung verschlüsseln (Vertraulichkeit). Mit SEAM können Sie sich auf anderen Systemen anmelden, Befehle ausführen, Daten austauschen und Daten gesichert übertragen. Zusätzlich bietet SEAM Dienste für die Autorisierung, mit denen Systemverwalter den Zugriff auf Dienste und Systeme beschränken können. Als SEAM-Benutzer können Sie außerdem den Zugriff anderer Personen auf Ihren Zugang steuern. Bei SEAM handelt es sich um ein System mit einmaliger Anmeldung, weshalb Sie von SEAM nur einmal pro Sitzung authentisiert werden müssen, damit anschließend automatisch alle folgenden Transaktionen während der Sitzung gesichert sind. Nachdem Sie von SEAM authentisiert wurden, müssen Sie sich nicht bei jeder Verwendung eines SEAM-basierenden Befehls, wie z. B. ftp oder rsh, oder bei jedem Zugriff auf ein NFS-Dateisystem, neu authentisieren. Das bedeutet, dass Sie Ihr Passwort nicht bei jeder Verwendung dieser Dienste über das Netzwerk senden müssen, wo es abgefangen werden könnte. SEAM basiert auf dem Netzwerk-Authentisierungsprotokoll von Kerberos V5, das am Massachusetts Institute of Technology (MIT) entwickelt wurde. Benutzern von 15
Kerberos V5 sollte SEAM daher sehr bekannt vorkommen. Da Kerberos V5 de facto einen Industriestandard für Netzwerksicherheit darstellt, fördert SEAM die Interoperabilität mit anderen Systemen. Mit anderen Worten, da SEAM mit Systemen arbeitet, die Kerberos V5 verwenden, ermöglicht es gesicherte Transaktionen sogar über heterogene Netzwerke. Außerdem stellt SEAM die Authentisierung und Sicherheit sowohl zwischen Domains als auch innerhalb einer einzelnen Domain bereit. Hinweis - Da SEAM auf Kerberos V5 basiert und für die Interoperabilität mit diesem ausgelegt ist, verwendet diese Dokumentation die Begriffe Kerberos und SEAM mehr oder weniger gleichbedeutend zum Beispiel Kerberos-Bereich oder SEAM-basiertes Dienstprogramm. (Ebenso werden auch Kerberos und Kerberos V5 gleichbedeutend verwendet.) Die Dokumentation zeigt die Unterschiede dort auf, wo es erforderlich ist. SEAM bietet Ihnen Flexibilität bei der Ausführung von Solaris-Anwendungen. Sie können SEAM so konfigurieren, dass sowohl SEAM-basierte als auch nicht-seam-basierte Anforderungen für Netzwerkdienste, wie z. B. NFS-Service, telnet und ftp, möglich sind. Das bedeutet, dass aktuelle Solaris-Anwendungen auch funktionieren, wenn sie auf Systemen ausgeführt werden, auf denen SEAM nicht installiert ist. Sie können SEAM auch so konfigurieren, dass nur SEAM-basierte Netzwerkanforderungen zugelassen werden. Zudem müssen sich Anwendungen nicht nur auf SEAM festlegen, falls andere Sicherheitsmechanismen entwickelt werden. Da SEAM für die Integration der Modularität in die allgemeine Programmierschnittstelle für den Sicherheits-Service (Generic Security Service API) entwickelt wurde, können Anwendungen, die GSS-API verwenden, den Sicherheitsmechanismus wählen, der ihren Anforderungen am ehesten entspricht. Funktionsweise von SEAM Im folgenden erhalten Sie einen allgemeinen Überblick über das SEAM-Authentisierungssystem. Eine eingehendere Beschreibung finden Sie unter Funktionsweise des Authentisierungssystems auf Seite 191. Aus der Sicht des Benutzers bleibt SEAM weitestgehend unsichtbar, nachdem die SEAM-Sitzung gestartet wurde. Befehle wie rsh oder ftp funktionieren im Großen und Ganzen wie bisher. Die Initialisierung einer SEAM-Sitzung besteht häufig nur aus der Anmeldung und Eingabe eines Kerberos-Passworts. Das SEAM-System dreht sich um das Konzept eines Tickets. Ein Ticket stellt einen Satz elektronischer Informationen dar, der als Identifikation für einen Benutzer oder einen Service, wie z. B. den NFS-Service, verwendet wird. So wie Ihr Führerschein 16 Sun Enterprise Authentication Mechanism 1.0.1 Handbuch März 2000
Sie identifiziert und anzeigt, welche Fahrerlaubnis Sie besitzen, so identifiziert ein Ticket Sie und Ihre Zugriffsberechtigungen für das Netzwerk. Wenn Sie eine SEAM-basierte Transaktion durchführen - zum Beispiel bei der Ausführung eines rlogin für ein anderes System - senden Sie transparent eine Ticketanforderung an ein Key Distribution Center oder KDC, das auf eine Datenbank zugreift, um Ihre Identität zu authentisieren. Das KDC gibt ein Ticket zurück, das Ihnen die Berechtigung für den Zugriff auf das andere System gewährt. Transparent bedeutet, dass Sie ein Ticket nicht explizit anfordern müssen; dies erfolgt als Teil des Befehls rlogin. Da nur der authentisierte Client ein Ticket für einen bestimmten Service abrufen kann, ist es einem anderen Client nicht möglich, rlogin mit einer angenommenen Identität zu verwenden. Den Tickets sind bestimmte Attribute zugeordnet. Ein Ticket kann beispielsweise das Attribut weiterreichbar (d. h., es kann auf einem anderen System ohne einen neuen Authentisierungsprozess verwendet werden) oder Nachdatiert (nicht vor einem bestimmten Zeitpunkt gültig) besitzen. Die Verwendung von Tickets - zum Beispiel, welche Benutzer welchen Tickettyp empfangen dürfen - wird über Richtlinien festgelegt, die bei der Installation oder Verwaltung von SEAM bestimmt werden. Hinweis - Die Begriffe Berechtigungsnachweis und Ticket treten häufiger auf. Im umfassenderen Kerberos-Umfeld werden Sie häufig gleichbedeutend verwendet. Ein Berechtigungsnachweis besteht technisch gesehen jedoch aus einem Ticket und dem Sitzungsschlüssel für diese Sitzung. Der Unterschied wird eingehender unter Zugriff auf einen Service mit SEAM erhalten auf Seite 192 erläutert. Die folgenden Abschnitte erläutern kurz den SEAM-Authentisierungsprozess. Anfangsauthentisierung: Ticket-granting Ticket Die Kerberos-Authentisierung erfolgt in zwei Phasen: Eine Anfangsauthentisierung, die nachfolgende Authentisierungen zuläßt, sowie die nachfolgenden Authentisierungen selbst. Abbildung 1 1 erläutert, wie die Anfangsauthentisierung durchgeführt wird: Einführung zu SEAM 17
1. Bei der Anmeldung (oder mit kinit) fordert der Client ein TGT an, das es ihm ermöglicht, Tickets für Dienste zu empfangen KDC Client 2. Das KDC überprüft TGT die Datenbank und sendet das TGT 3. Der Client verwendet ein Paßwort, um das TGT zu entschlüsseln und beweist somit seine Identität; er kann das TGT jetzt verwenden, um andere Tickets zu empfangen TGT = Ticket-granting- Ticket KDC = Key Distribution Center Abbildung 1 1 Anfangsauthentisierung für SEAM-Sitzung 1. Ein Client (ein Benutzer oder ein Service wie NFS) startet eine SEAM-Sitzung, indem ein Ticket-granting Ticket (TGT) vom Key Distribution Center angefordert wird. Dieser Vorgang erfolgt häufig automatisch bei der Anmeldung. Ein Ticket-granting Ticket wird benötigt, um andere Tickets für bestimmte Services abzurufen. Sie können sich ein Ticket-granting Ticket ähnlich wie einen Reisepass vorstellen. Das Ticket-granting Ticket weist Sie wie ein Reisepass aus und ermöglicht es Ihnen, zahlreiche Visa zu erhalten wobei die Visa (Tickets) nicht für fremde Länder sondern für entfernte Systeme oder Netzwerkdienste gelten. Ticket-granting Tickets sowie die weiteren verschiedenen Tickets besitzen, wie auch Reisepässe und Visa, nur eine begrenzte Gültigkeit. Der Unterschied besteht darin, dass Kerberos -Befehle erkennen, dass Sie einen Reisepass besitzen, und dann die Visa für Sie abrufen Sie müssen die Transaktion nicht selbst durchführen. 2. Das KDC erzeugt ein Ticket granting Ticket und sendet es verschlüsselt an den Client zurück. Der Client entschlüsselt das Ticket-granting Ticket mit Hilfe seines Passworts. 3. Nachdem der Client nun im Besitz eines Ticket-granting Tickets ist, kann er Tickets für alle Netzwerkoperationen, wie z. B. rlogin oder telnet anfordern, solange das Ticket-granting Ticket gültig ist. Die Gültigkeit beträgt normalerweise 18 Sun Enterprise Authentication Mechanism 1.0.1 Handbuch März 2000
einige Stunden. Bei jeder eindeutigen Netzwerkoperation fordert der Client ein Ticket für diese Operation vom KDC an. Nachfolgende Authentisierungen Nachdem der Client die Anfangsauthentisierung erhalten hat, folgt jede einzelne Authentisierung einem Muster, wie in Abbildung 1 2 beschrieben: 1. Der Client fordert ein Ticket für den Server an; er sendet ein TGT als Beweis seiner Identität an das KDC TGT KDC 2. Das KDC sendet das Client-Ticket für den Server Client Server 3. Der Client sendet das Ticket an den Server 4. Der Server gewährt dem Client den Zugriff TGT = Ticket-granting- Ticket KDC = Key Distribution Center Abbildung 1 2 Zugriff auf einen Service erhalten 1. Der Client fordert ein Ticket für einen bestimmten Service (z. B., um ein rlogin für ein anderes System durchzuführen) vom KDC an, wobei dem KDC sein "Ticket-granting Ticket" als Identitätsnachweis gesendet wird. 2. Das KDC sendet das Ticket für den bestimmten Dienst an den Client. Nehmen wir zum Beispiel an, der Benutzer josef verwendet rlogin auf dem Server hamburg. Da seine Authentisierung bereits erfolgt ist (d. h., er verfügt bereits über das Ticket-granting Ticket), erhält er automatisch und transparent ein Ticket als Teil des Befehls rlogin. Dieses Ticket ermöglicht es ihm, ein rlogin beliebig oft für hamburg durchzuführen, bis das Ticket nicht mehr gültig ist. Wenn josef ein rlogin für das System hannover durchführen will, erhält er ein anderes Ticket, wie in Schritt 1 beschrieben. 3. Der Client sendet das Ticket an den Server. 4. Der Server gewährt den Zugriff durch den Client. Einführung zu SEAM 19
Wenn Sie sich diese Schritte betrachten, scheint es, dass der Server nie mit dem KDC kommuniziert. Dies ist jedoch nicht der Fall. Der Server registriert sich beim KDC auf dieselbe Weise wie der erste Client. Dieser Teil wurde der Einfachheit halber weggelassen. SEAM-basierte Befehle Wie lauten die SEAM-basierten (oder Kerberized ) Befehle, die Benutzer wie josef verwenden können? Folgende Befehle sind möglich: 4 ftp 4 rcp 4 rlogin 4 rsh 4 telnet Bei diesen Anwendungen handelt es sich um dieselben Anwendungen wie die gleichnamigen Solaris-Anwendungen, jedoch mit dem Unterschied, dass sie Kerberos-Hauptbenutzer zur Authentisierung von Transaktionen verwenden, und somit eine Kerberos-basierte Sicherheit bieten. Weitere Informationen zu Hauptbenutzern finden Sie in Hauptbenutzer auf Seite 20. Eine eingehende Erläuterung der Befehle finden Sie unter SEAM-Befehle auf Seite 170. Hauptbenutzer In SEAM wird ein Client über den Hauptbenutzernamen identifiziert. Ein Hauptbenutzer stellt eine eindeutige Identität dar, der das KDC Tickets zuweisen kann. Bei einem Hauptbenutzer kann es sich um einen Benutzer wie josef oder einen Service wie nfs oder telnet handeln. Der Hauptbenutzername wird laut Konvention in drei Teile unterteilt: Primär, Instanz und Bereich. Ein typischer SEAM-Hauptbenutzer wäre z. B. josef/ admin@eng.acme.com, wobei: 4 josef den primären Teil darstellt. Dabei kann es sich um einen Benutzernamen, wie in diesem Beispiel, oder einen Service wie nfs handeln. Auch host kann verwendet werden, was auf einen Service-Hauptbenutzer hinweist, der für die Bereitstellung verschiedener Services (ftp, rcp, rlogin usw.) eingerichtet wurde. 4 admin steht für die Instanz. Die Angabe einer Instanz ist im Falle von Benutzer-Hauptbenutzern optional, jedoch für einen Service-Hauptbenutzer erforderlich. Beispiel: Wenn der Benutzer josef manchmal als Systemverwalter aktiv ist, kann er josef/admin verwenden, um sich dabei von seiner Identität als 20 Sun Enterprise Authentication Mechanism 1.0.1 Handbuch März 2000
normaler Benutzer zu unterscheiden. Ebenso kann josef zwei Hauptbenutzernamen mit unterschiedlichen Instanzen verwenden, wenn er über Zugänge auf zwei unterschiedlichen Hosts verfügt (z. B. josef/ hannover.acme.com und josef/hamburg.acme.com). Beachten Sie, dass josef und josef/admin von SEAM als zwei komplett unterschiedliche Hauptbenutzer behandelt werden. Im Falle eines Service-Hauptbenutzers besteht die Instanz aus dem vollständig qualifizierten Host-Namen. grossrechner.eng.acme.com ist ein Beispiel einer solchen Instanz. Somit könnte Primär/Instanz wie folgt aussehen: ftp/ grossrechner.eng.acme.com oder host/grossrechner.eng.acme.com. 4 ENG.ACME.COM stellt den SEAM-Bereich dar. Bereiche werden unter Bereiche auf Seite 21 beschrieben. Im folgenden sehen Sie Beispiele für gültige Hauptbenutzernamen: 4 josef 4 josef/admin 4 josef/admin@eng.acme.com 4 ftp/host.eng.acme.com@eng.acme.com 4 host/eng.acme.com@eng.acme.com Bereiche Ein Bereich stellt ein logisches Netzwerk dar, wie z. B. eine Domain, das eine Gruppe von Systemen unter demselben Master-KDC definiert (siehe unten). Abbildung 1 3 zeigt die möglichen Beziehungen zwischen Bereichen. Einige Bereiche sind hierarchisch angeordnet (ein Bereich stellt eine Obermenge eines anderen Bereichs dar). Andernfalls besitzen die Bereiche keine Hierarchie und die Zuordnung muss somit zwischen den beiden Bereichen definiert werden. Zu den Funktionen von SEAM zählt die Möglichkeit, die Authentisierung über Bereiche hinweg durchzuführen. Jeder Bereich muss nur über einen Hauptbenutzereintrag für den anderen Bereich in seinem KDC verfügen. Einführung zu SEAM 21