Zusammenfassung LDAP/Kerberos-Workshop

Der Workshop behandelt sowohl Theorie wie auch Praxis: Vorträge führen in die Grundlagen der beiden Basistechnologien Kerberos und LDAP ein. Praktische Übungen am Rechner vertiefen die neu erworbenen Kenntnisse. Am Ende des Workshops haben alle Teilnehmer ein Single-Sign-On-System unter Linux aufgesetzt.

 

1. Tag: Kerberos - ein kryptographischer Authentisierungsdienst

Vortrag: Der Kerberos Authentisierungsdienst
Der Vortrag beschäftigt sich mit den Design-Zielen von Kerberos, den Rahmenbedingungen, denen diese Ziele unterliegen, sowie mit der tatsächlichen Umsetzung in Kerberos V. Zentraler Inhalt des Konzeptes hinter Kerberos ist ein Single-Sign-On. Dabei kann ein Benutzer, nachdem er sich lokal an einer Workstation mit seinem Passwort angemeldet hat, auf Netzwerk-Dienste zugreifen, ohne erneut ein Passwort angeben zu müssen. Im Vortrag wird entwickelt, wie man dieses Ziel eines Single-Sign-On umsetzen kann, welche Probleme dabei auftreten, und wie man diese mit kryptographischen Methoden bei Kerberos V gelöst hat.

Praxis: Aufbau einer MIT-Kerberos Realm
Unter Debian Linux setzen die Teilnehmer in Zweiergruppen einen Kerberos Authentisierungsdienst auf (Key-Distribution-Center, KDC). Die Authentisierung einer Linux-Workstation wird über die PAM in die Kerberos Realm integriert. Auf die gleiche Weise wird eine Windows-XP-Workstation eingebunden. Zusätzlich zum integrierten Login wird am Beispiel des Web-Servers Apache eine Anwendung kerberisiert. Als Clients stehen Mozilla 1.8 und IE 6 zur Verfügung.

 

2. Tag: LDAP - ein hierarchischer Verzeichnisdienst

Vortrag: Lightweight Directory Access Protocol
Zunächst wird in einem Überblick über die LDAP Entwicklungsgeschichte die Verwandtschaft zum X500 Verzeichnisdienst dargestellt. Daraus werden Gemeinsamkeiten und Unterschiede zwischen LDAP und X500 entwickelt. Darauf aufbauend werden die Stärken und Schwächen eines so allgemeinen Verzeichnisses dargestellt. Kerninhalte stellen Delegation und Replikation dar. Zum Schluss werden Einsatzmöglichkeiten und konkrete Probleme von LDAP als Verzeichnisdienst vorgestellt.

Praxis: Aufbau eines OpenLDAP Verzeichnis-Dienstes
Unter Debian Linux setzen die Teilnehmer in Zweiergruppen einen openLDAP Server auf und populieren ihn mit grafischen und Kommandozeilen-Werkzeugen. Dann wird der Netzwerkzugriff auf den Server über TLS abgesichert, dazu ist ein kurzer Exkurs über Zertifikatmanagement mit openssl notwendig. Im Anschluss daran replizieren die Teilnehmer ihren Server zur Erhöhung der Verfügbarkeit des Verzeichnisses. Abschließend wird der Zugriff auf den LDAP-Dienst kerberisiert. Als Anwendung der aufgebauten LDAP-Infrastruktur steht den Teilnehmern die Adressbuchfunktion im Mozilla zur Verfügung. Außerdem kann das Benutzerverzeichnis der Linux-Workstation an LDAP angebunden werden.

Mit diesem Workshop-Teil wird der erste Tag abgerundet, da Kerberos allein ausschließlich ein Authentisierungsdienst ist und Benutzerdaten zwingend aus einem Verzeichnisdienst wie LDAP oder NIS+ bezogen werden müssen.