Kerberos/LDAP

Der Workshop beschäftigt sich mit der Authentisierung über Kerberos und der Benutzerverwaltung über LDAP. Er erstreckt sich über zwei Tage, wobei jedes der beiden Themen jeweils den Schwerpunkt eines Tages darstellt.

Überblick und Voraussetzungen

Zielgruppe des Workshops sind Administratoren reiner Linux Netze oder gemischter Linux/Windows Umgebungen. Vorausgesetzt werden LinuxAdministrationserfahrung, Netzwerkerfahrung, sowie ein Grundverständnis symmetrischer und asymmetrischer kryptographischer Verfahren.

Am Anfang jedes Workshop-Tages wird in einem zweistündigen Vortrag eine Einführung in das Thema vermittelt. Die Themenschwerpunkte werden am Rest der Tage von den Teilnehmern praktisch umgesetzt und durch kurze theoretische Erläuterungen ergänzt.

Themen im Detail

1. Tag: Kerberos - ein kryptographischer Authentisierungsdienst

Vortrag: Der Kerberos Authentisierungsdienst: Der Vortrag beschäftigt sich mit den Design-Zielen von Kerberos, den Rahmenbedingungen, denen diese Ziele unterliegen, sowie mit der tatsächlichen Umsetzung in Kerberos V. Zentraler Inhalt des Konzeptes hinter Kerberos ist ein Single-Sign-On. Dabei kann ein Benutzer, nachdem er sich lokal an einer Workstation mit seinem Passwort angemeldet hat, auf Netzwerk-Dienste zugreifen, ohne erneut ein Passwort angeben zu müssen. Im Vortrag wird entwickelt, wie dieses Ziel eines Single-Sign-On umgesetzt werden kann, welche Probleme dabei auftreten und wie diese mit kryptographischen Methoden bei Kerberos V gelöst werden.

Praxis: Aufbau eines MIT-Kerberos Realms: Unter Debian GNU/Linux setzen die Teilnehmer in Zweiergruppen einen Kerberos Authentisierungsdienst auf (Key-Distribution-Center, KDC). Die Authentisierung einer Linux-Workstation wird über die PAM in die Kerberos Realm integriert, ebenso wird eine Windows-XP-Workstation eingebunden. Zusätzlich zum integrierten Login wird am Beispiel des Web-Servers Apache eine Anwendung kerberisiert. Als Clients stehen Mozilla 1.8 und IE 6 zur Verfügung.

2. Tag: LDAP - ein hierarchischer Verzeichnisdienst

Vortrag: Lightweight Directory Access Protocol: Zunächst wird in einem Überblick über die LDAP Entwicklungsgeschichte die Verwandtschaft zum X.500 Verzeichnisdienst dargestellt. Daraus werden Gemeinsamkeiten und Unterschiede zwischen LDAP und X.500 entwickelt. Darauf aufbauend werden die Stärken und Schwächen eines so allgemeinen Verzeichnisses dargestellt. Kerninhalte stellen Delegation und Replikation dar. Zum Schluss werden Einsatzmöglichkeiten und konkrete Probleme von LDAP als Verzeichnisdienst vorgestellt.

Praxis: Aufbau eines OpenLDAP-Verzeichnis-Dienstes: Unter Debian GNU/Linux setzen die Teilnehmer in Zweiergruppen einen openLDAP-Server auf und populieren ihn mit Kommadozeilen- und grafischen Werkzeugen. Der Netzwerkzugriff wird auf den Server über TLS abgesichert; dazu ist ein kurzer Exkurs über Zertifikatmanagement mit openSSL notwenig. Die Teilnehmer replizieren ihren Server zur Erhöhung der Verfügbarkeit des Verzeichnisses. Der Zugriff auf den LDAP-Dienst wird kerberisiert. Als Anwendung der aufgebauten LDAP Infrastruktur steht den Teilnehmern die Adressbuchfunktion von Mozilla zur Verfügung; weiterhin kann das Benutzerverzeichnis der Linux-Workstation an LDAP angebunden werden. Damit wird der erste Tag abgerundet, da Kerberos ausschließlich ein Authentisierungsdienst ist und Benutzerdaten zwingend aus einem Verzeichnisdienst wie LDAP oder NIS+ bezogen werden müssen.

Referenten

Mark Pröhl beendete im Januar 1999 sein Physikstudium an der Universität in Tübingen mit einer Diplomarbeit am Institut für Theoretische Physik. Seine dort gesammelten Kenntnissein der Systemadministration setzt er seit dem 1.April 1999 bei der  science + computing ag im Geschäftsbereich IT-Service Tübingen ein. Dort befasst er sich vor allem mit Betrieb und Konzeption heterogener Unix/Linux/Windows- Umgebungen und so auch intensiv mit den Infrastruktur-Komponenten Samba, LDAP und Kerberos.

Michael Weiser hat sein Studium an der Hochschule für Technik, Wirtschaft und Kultur Leipzig als Diplominformatiker (FH) abgeschlossen. Dazu gehörte auch ein integriertes Auslandsstudium am Bolton Institute in Bolton, Lancashire, UK mit dem Abschluß BA/BSc (Bachelor). Berufserfahrung sammelte er seit 1996 durch die Administration mehrerer Rechnerlaboratorien für Produktion und Ausbildung vernetzt mit Linux, SGI IRIX, Sun Solaris, Novell Netware und NeXTstep mit besonderer Ausrichtung auf Sicherheit. Später durch seine Arbeit als UNIX Systemadministrator am Bolton Institute mit Fokus auf Linux, Sun Solaris, HP-UX und Hochverfügbarkeit. Seit Anfang 2004 arbeitet er ebenfalls bei der science + computing ag.