Ziel dieses Workshops ist das Erlernen des praktischen Umgangs mit Kerberos und LDAP. Darüberhinaus werden die theoretischen Grundlagen zur Kerberos-Authentisierung und von LDAP-Verzeichnissen vermittelt. Der Aufbau einer Infrastruktur zur einheitlichen Benutzerverwaltung unter UNIX und Windows rundet den Workshop ab.
Der Workshop beschäftigt sich mit der Authentisierung über Kerberos und der Benutzerverwaltung mittels LDAP. In Vorträgen werden die Schwerpunkte theoretisch behandelt und anschließend in Vorführungenam Rechner praktisch umgesetzt. Am Beispiel einer Reihe Dienste und Anwendungen wird die Integration von Kerberos und LDAP zu einer übergreifenden Kerberos/LDAP-Infrastruktur für Windows und Linux demonstriert.
Im ersten Teil wird Kerberos als ein kryptographischer Authentisierungsdienst vorgestellt. Die Design-Ziele, Rahmenbedingungen der Umsetzung, sowie die tatsächliche Umsetzung in Form von Kerberos V werden erläutert. Zentraler Inhalt des Konzeptes hinter Kerberos ist ein Single-Sign-On. Dabei kann ein Benutzer, nachdem er sich lokal an einer Workstation mit seinem Passwort angemeldet hat, auf Netzwerk-Dienste zugreifen, ohne erneut ein Passwort angeben zu müssen. Im Vortrag wird entwickelt, wie dieses Ziel eines Single-Sign-On umgesetzt werden kann, welche Probleme dabei auftreten und wie diese mit kryptographischen Methoden bei Kerberos V gelöst werden.
In der praktischen Vorführung wird unter Debian GNU/Linux ein Kerberos Authentisierungsdienst aufgesetzt (Key-Distribution-Center, KDC). Die Authentisierung eines Linux-Rechners wird über die PAM in die Kerberos Realm integriert, ebenso wird eine Windows XP Workstation eingebunden. Zusätzlich zum integrierten Login wird am Beispiel des Web-Servers Apache eine Anwendung kerberisiert. Als Client steht Mozilla 1.8 zur Verfügung.
Im zweiten Teil wird LDAP als hierarchischer Verzeichnisdienst vorgestellt. Zunächst wird in einem kurzen Überblick die Entwicklungsgeschichte und Verwandtschaft zum X.500 Verzeichnisdienst dargestellt. Daraus werden Gemeinsamkeiten und Unterschiede zwischen LDAP und X.500 entwickelt. Darauf aufbauend werden die Stärken und Schwächen eines so allgemeinen Verzeichnisses dargestellt. Zum Schluss werden Einsatzmöglichkeiten und konkrete Probleme von LDAP als Verzeichnisdienst vorgestellt.
Unter Debian GNU/Linux wird ein OpenLDAP-Server aufgesetzt und mit Kommandozeilen- und grafischen Werkzeugen populiert. Der Zugriff auf den LDAP-Dienst wird kerberisiert und die Namensdienste von Linux und Windows-Rechnern an LDAP angebunden. Zusammen mit dem im ersten Teil eingerichteten Kerberos-Dienst ergibt sich so eine übergreifende Kerberos/LDAP-Authentisierungs/Namendienste-Infrastruktur.
Administratoren reiner Linux Netze oder gemischter Linux/Windows Umgebungen.
Linux Administrationserfahrung, Netzwerkerfahrung sowie ein Grundverständnis symmetrischer und asymmetrischer kryptographischer Verfahren.
Michael Weiser, science + computing ag
Michael Weiser hat sein Studium an der HTWK Leipzig als Diplominformatiker (FH) abgeschlossen. Berufserfahrung sammelte er seit 1996 durch die Administration vernetzter Rechnerumgebungen mit Linux, SGI IRIX, Sun Solaris, IBM AIX, HP Tru64 UNIX und Novell Netware mit besonderer Ausrichtung auf Sicherheit und Hochverfügbarkeit. Seit Anfang 2004 arbeitet er bei der science + computing ag.