Abonnieren Sie den kostenlosen Info-Service der science + computing ag

Lernen Sie Neues, Praktisches und Interessantes rund um das Thema "Einheitliche Benutzerauthentisierung". Der TechLetter erscheint mehrmals im Jahr und behandelt jeweils eingehend eine technische Fragestellung.

Die aktuelle Ausgabe beschäftigt sich mit folgendem Thema:

Mobile Clients in Kerberos/LDAP-Umgebungen integrieren

Geplante Themen für die nächsten Ausgaben des TechLetter sind zum Beispiel

• Wie lassen sich Webdienste mit Kerberos in eine Single Sign-On Umgebung einbinden?
• Welche Besonderheiten zeichnen das Kerberos des Active-Directory im Vergleich zu anderen Implementierungen aus?

Sie abonnieren den kostenlosen TechLetter über die Abonnementseite.

Als Abonnent des TechLetter haben Sie Zugriff auf alle bisher publizierten Ausgaben.

 

Bereits erschienene Ausgaben des TechLetter

Ausgabe 5 / Januar 2010

Mobile Clients in Kerberos/LDAP-Umgebungen integrieren (Teil 1: Authentisierung)

Zusammenfassung

Es scheint wie ein unlösbarer Gegensatz: Kerberos, LDAP oder das darauf basierende Active-Directory bündeln Informationen zur Benutzerverwaltung auf zentralen Servern und stellen sie ihren Clients via Netz zur Verfügung. Notebooks und andere mobile Computer beziehen ihren Daseinszweck hingegen in aller Regel daraus, dass sie auch ohne permanente Netzverbindung nutzbar sind. Der zweiteilige TechLetter zeigt Möglichkeiten, diesen Widerspruch unter Windows- und Linux/Unix-Betriebssystemen zu lösen. Teil eins in dieser Ausgabe beschreibt den sinnvollen Einsatz des Authentisierungsdienstes Kerberos auf Notebooks und anderen mobilen Clients.

 

Ausgabe 4 / Mai 2009

Active-Directory-Integration von Unix-Clients - die fünf häufigsten Probleme

Zusammenfassung
Wenn Windows auf Unix trifft, sind Probleme und Missverständnisse traditionell vorprogrammiert. Wer einen Linux- oder Unix-Rechner in eine Active Directory-Domäne aufnehmen möchte, bekommt einige Hürden in den Weg gelegt. TechLetter Ausgabe 4 zeigt die fünf häufigsten Schwierigkeiten bei der Migration (Zeitsynchronisation, Namensauflösung, Gruppenstruktur etc.) und wie sie sich vermeiden lassen.

 

Ausgabe 3 / November 2008

Schattenidentitäten - Passwortmigration und -synchronisation zwischen NIS und AD

Zusammenfassung
Beim Speichern von Passwörtern sprechen Kerberos und traditionelle Unix-Implementierungen unterschiedliche Sprachen. Während die Betriebssysteme selbst und mitunter auch einzelne Applikationen so genannte Cryptstrings oder verwandte Hashverfahren verwenden, verwaltet Kerberos eine eigene Schlüssel-Datenbank für unterschiedlichste Verschlüsselungsverfahren. Diese Inkompatibilität der verwendeten Hash-Verfahren schafft Probleme, sobald Passwörter zwischen den Welten abgeglichen werden müssen, beispielsweise bei der Migration einer bestehenden Nutzerdatenbank in eine neue Kerberos-Umgebung. Auch wenn einzelne Rechner oder Applikationen in einer Kerberos-Realm noch über traditionelle Methoden authentisieren sollen, ist es wünschenswert, die Passwörter in Kerberos synchron zu halten zu herkömmlichen Cryptstrings. Welche Möglichkeiten dem Administrator zur Verfügung stehen, zeigt der TechLetter in Ausgabe 3.

 

Ausgabe 2/ Juli 2008

Was tun, wenn's brennt? - Sicherheitsrisiken in Kerberos-Umgebungen erkennen, eindämmen und beseitigen

Zusammenfassung
Die schlagzeilenträchtige Schwachstelle der Debian-Version von OpenSSL hat nicht nur Nachlässigkeiten von Distributoren oder Entwicklern offengelegt. Deutlich wie selten haben die Geschehnisse gezeigt, wie unzureichend viele Umgebungen auf den Ernstfall vorbereitet sind, wenn ihre Sicherheitssysteme versagen oder überlistet wurden. Wo liegen die Schwachstellen? Wie lässt sich die Bedrohung eingrenzen? Und: Was ist zu tun, wenn sensible Daten womöglich doch in falsche Hände geraten sind? Wer sicherheitsrelevante Dienste betreibt, sollte auf diese Fragen die passenden Antworten parat haben. Die zweite Ausgabe des TechLetter beschäftigt sich mit den wichtigsten Szenarien für SSL-gesicherte Dienste, PGP und Kerberos-Umgebungen.

 

Ausgabe 1/ April 2008

Aus freien Stücken - AD-Anbindung mit Open-Source-Werkzeugen

Zusammenfassung
Wer Linux- und Unix-Workstations einheitlich in eine durch Active-Directory (AD) verwaltete Domänen integrieren will, hat drei Hürden zu überwinden: Es muss eine Vertrauensstellung bestehen zwischen Workstation und Domänenkontroller, die Workstation muss Benutzer gegen AD authentisieren und zu guter Letzt auch sämtliche Benutzerinformationen aus AD beziehen. Microsofts AD setzt dazu auf standardisierte Protokolle, Kerberos für die Authentisierung und das Herstellen eines Vertrauensverhältnisses, LDAP zur Verteilung von Benutzerinformationen. Sowohl Kerberos-, als auch LDAP-Implementierungen gehören inzwischen zum Standardlieferumfang eines Linux- oder Unix-Systems, das sich so quasi mit Bordmitteln an AD anbinden lässt. Alternativ dazu bieten einige Hersteller kommerzielle Produkte zur AD-Integration an, die einfachere Administration oder weitergehende Funktionen als die Bordmittellösung versprechen. Doch auch in der Open-Source-Welt gibt es eine zweite Möglichkeit, mit AD in Kontakt zu treten: Samba. Das Softwarepaket beschränkt sich längst nicht mehr auf den Austausch von Dateien über das CIFS-Protokoll. Der in Samba-Version 2.2 eingeführte winbind-Daemon ist das Bindeglied für die Benutzerverwaltung zwischen Windows und Linux/Unix und kann seit Samba 3.0.20 auch mit AD-Domänen umgehen. In der ersten Ausgabe des TechLetter muss sich Samba/winbind messen lassen mit der AD-Integration durch freie Bordmittel.