RBG Rechnerbetriebsgruppe der Technischen Fakultät · Universität Bielefeld | RBG Rechnerbetriebsgruppe der Technischen Fakultät · Universität Bielefeld |
|
|
KerberosKerberos (Wikipedia) ist ein Authentifizierungsdienst für Netzwerke. Der Unterschied zur normalen Unix-Authentifizierung mittels Paßwortabfrage ist der folgende: Bei der normalen Authentifizierung wird beim Anmelden einmal das Paßwort abgefragt. Ist das Paßwort korrekt, bleibt der Nutzer solange authentifiziert bis er sich wieder vom System abmeldet. Es erfolgt aber keine Speicherung des erfolgreichen Authentifizierungsvorgangs (sieht man davon ab, daß die bestehende Sitzung dies implizit dokumentiert). Möchte sich der Nutzer auf einem anderen Rechner anmelden, muß er sich dort erneut mit seinem Paßwort authentifizieren (solange er keine alternativen Wege wie key login verwendet). Mit Kerberos wird der Anmeldevorgang durch Erstellen eines "Tickets" protokolliert, das eine Zeitlang gültig ist und dem System gegenüber nachweist, daß der Benutzer authentifiziert ist. Bei zukünftigen Authentifizierungen kann der Benutzer daher einfach sein Ticket vorzeigen und muß sich nicht erneut per Paßwort authentifizieren. Das "Vorzeigen" des Tickets geschieht dabei automatisch wenn ein Dienst mit Authentifizierungsbedarf genutzt wird. Das Ticket selbst ist durch kryptographische Methoden gegen Mißbrauch und Manipulation geschützt. Wir werden die Authentifikation innerhalb der TechFak schrittweise auf Kerberos umstellen, da es die folgenden Vorteile bietet:
Absicherung der Dateiserver gegen Zugriff DritterDie klassischen Unix-Netzwerk-Dateisysteme überprüfen nicht, ob ein Nutzer wirklich derjenige ist als der er sich ausgibt. Ein Nutzer mit Systemadministratorrechten kann dies ausnutzen, um Zugriff auf die Daten aller vorhandenen Nutzer zu erhalten: Er kann mit Hilfe seiner root-Rechte jede beliebige Nutzer-ID gegenüber dem Dateiserver annehmen, ohne dazu das Paßwort des Benutzer zu kennen.Mit Hilfe des Netzwerk-Dateisystems NFSv4 und Kerberos werden jedoch nur Daten an einen Nutzer ausgeliefert, der sich mit Hilfe eines passenden Kerberos-Tickets ausweisen kann. Dadurch kommt man auch mit Systemadminstratorrechten über das Netzwerk nicht mehr an die Nutzerdaten heran: Die einzige Möglichkeit das Kerberos-Ticket zu erhalten besteht darin das richtige Paßwort des Benutzers einzugeben. Das Paßwort ist aber auch dem Systemadministrator nicht bekannt. Einheitliche Authentifizierung innerhalb der TechFakDas Kerberos-Ticket kann bereits beim Einloggen erstellt werden und damit für weitere Authentifizierungen verwendet werden. Im einfachsten Fall bedeutet dies, daß man ohne Paßwortabfrage per ssh zwischen den TechFak-Rechnern wechseln kann. Wir werden im Laufe der Zeit weitere TechFak-Dienste "kerberisieren", wodurch sich ein Nutzer gegenüber diesen Diensten dann auch nicht mehr erneut mit seinem Paßwort anmelden muß. Allerdings ist dabei noch das Problem zu lösen, daß die Kerberos-Tickets nach einer bestimmten Zeit ablaufen bzw. erneuert werden müssen. Bleibt ein Mitarbeiter über Nacht eingeloggt und läuft das Ticket während dieser Zeit ab, so können am nächsten Morgen Probleme auftreten. Daher nutzen wir Kerberos zur Zeit nur im GZI, wo das Ablaufen der Tickets unproblematisch ist da sich die Nutzer am Abend ohnehin abmelden müssen. |
| © 2011-2012 Universität Bielefeld Verantwortliche Person: Dr. C. Gnörlich Impressum | |
