Sub Menu

Kerberos/LDAP

Anmelden und Vergessen - Nutzerverwaltung und Single-Sign-On in heterogenen Umgebungen mit Kerberos und LDAP: Diesem Thema widmet sich das zweitägige Tutorium, das am Donnerstag/Freitag (04./05. Mai 2006) stattfindet.

Das Tutorium ist ausgebucht.

Inhalt des Tutoriums:

Heutige IT-Umgebungen sind häufig heterogen: UNIX/Linux-Derivate und Microsoft-Betriebssysteme werden nebeneinander eingesetzt. Administratoren stehen vor der Herausforderung einer einheitlichen Verwaltung solcher Umgebungen. Insbesondere eine einheitliche Benutzerverwaltung ist oft gefragt: Benutzerdaten sollen einmal in ein zentrales Verzeichnis eingepflegt werden und sofort allen Systemen zur Verfügung stehen. Hierfür bieten Verzeichnisdienste wie LDAP ideale Voraussetzungen. Oft ist neben der einheitlichen Verwaltung auch ein sicheres Single-Sign-On ein wichtiger Aspekt für die Entscheidung für oder gegen ein Benutzerverwaltungs-Konzept. Unter Single-Sign-On versteht man, dass ein Benutzer, nachdem er sich lokal an einer Workstation mit seinem Passwort angemeldet hat, auf Netzwerk-Dienste zugreifen kann, ohne erneut ein Passwort angeben zu müssen. Kerberos kann sicherlich als das "State of the Art" Single-Sign-On-Konzept angesehen werden.

Themen im Detail/Ablauf des Tutoriums:

Der Workshop beschäftigt sich mit der Authentisierung über Kerberos 5 und der Benutzerverwaltung mittels LDAP. In Vorträgen werden die Schwerpunkte theoretisch behandelt und anschließend in Übungen am Rechner praktisch umgesetzt. Am Beispiel einiger Dienste und Anwendungen wird die Integration von Kerberos und LDAP zu einer übergreifenden Kerberos/LDAP-Infrastruktur für Windows und Linux demonstriert.

Im ersten Teil wird Kerberos als ein kryptographischer Authentisierungsdienst vorgestellt. Die Design-Ziele, Rahmenbedingungen der Umsetzung sowie die tatsächliche Umsetzung in Form von Kerberos 5 werden erläutert. Im Vortrag wird entwickelt, wie das Ziel eines Single-Sign-On umgesetzt werden kann, welche Probleme dabei auftreten und wie diese mit kryptographischen Methoden bei Kerberos 5 gelöst werden.

Im praktischen Teil wird unter Debian GNU/Linux ein Kerberos Key-Distribution-Center (KDC) aufgesetzt. Die Authentisierung eines Linux-Rechners wird über die PAM in die Kerberos Realm integriert, ebenso wird eine Windows-XP-Workstation eingebunden. Zusätzlich zum integrierten Login wird am Beispiel des Web-Servers Apache eine Anwendung kerberisiert. Als Clients stehen Mozilla 1.8 und Internet Explorer 6 zur Verfügung.

Im zweiten Teil wird LDAP als hierarchischer Verzeichnisdienst vorgestellt. Zunächst wird in einem kurzen Überblick die Entwicklungsgeschichte und Verwandtschaft zum X.500 Verzeichnisdienst dargestellt. Daraus werden Gemeinsamkeiten und Unterschiede zwischen LDAP und X.500 entwickelt. Darauf aufbauend werden die Stärken und Schwächen eines so allgemeinen Verzeichnisses dargestellt. Zum Schluss werden Einsatzmöglichkeiten und konkrete Probleme von LDAP als Verzeichnisdienst vorgestellt.

Unter Debian GNU/Linux wird ein OpenLDAP-Server aufgesetzt und mit Kommadozeilen- und grafischen Werkzeugen populiert. Der Netzwerkzugriff auf den Server wird mit TLS abgesichert. Dazu ist ein kurzer Exkurs in Zertifikatsmanagement mit OpenSSL notwendig. Der Server wird zur Erhöhung der Verfügbarkeit repliziert. Anschließend wird der Zugriff auf den LDAP-Dienst kerberisiert und die Namensdienste von Linux- und Windows-Rechnern daran angebunden. Als Anwendung der aufgebauten LDAP-Infrastruktur steht den Teilnehmern die Adressbuchfunktion von Mozilla zur Verfügung.

Abschließend werden die Benutzerdatenbanken der Linux- und der Windows-Workstation an LDAP angebunden.

Zusammen mit dem im ersten Teil eingerichteten Kerberos-Dienst ergibt sich so die übergreifende Kerberos/LDAP-Authentisierungs- und -Namendienste-Infrastruktur.

Zielgruppe/Voraussetzungen:

Zielgruppe des Workshops sind Administratoren reiner Linux Netze oder gemischter Linux/Windows Umgebungen. Vorausgesetzt werden Linux Administrationserfahrung, Netzwerkerfahrung, sowie ein Grundverstaendnis symmetrischer und asymmetrischer kryptographischer Verfahren.

Mitzubringen:

Da der Workshop auf vorbereiteten Rechnern mit mehreren VMWare-Images abgehalten wird, muss keine eigene Infrastruktur mitgebracht werden.

Lernziel/Benefit:

Die Teilnehmer erlernen im Workshop den praktischen Umgang mit Kerberos und LDAP. Dazu werden auch die theoretischen Grundlagen zur Kerberos-Authentisierung und zu LDAP-Verzeichnissen vermittelt. Am Ende des Workshops hat jeder Teilnehmer eine eigene Infrastruktur zur einheitlichen Benutzerverwaltung unter UNIX und Windows aufgebaut und die notwendigen Kenntnisse erworben, dies in eigenen Projekten umzusetzen.

Über die Referenten:

Joachim Keltsch hat an der Universität Stuttgart Physik studiert und arbeitet seit 1996 im IT-Service der science+computing AG in Tübingen. Er ist dort seitdem auf den Gebieten Konzeption und Systemmanagement großer heterogener Rechnernetze tätig.

Außerdem engagiert er sich im Bereich Trainingsentwicklung und Durchführung von IT Schulungen. In diesem Umfeld war er unter anderem 2000 für ein halbjähriges Traineeprogramm verantwortlich, das s+c zur Qualifikation neuer Mitarbeiter durchführte.

Seitdem hat sich sein Schwerpunkt zu Open-Source-Migrationsprojekten und der Beobachtung, Evaluierung und Entwicklung neuer Methoden und Konzepte im IT-Service verlagert.

Erste Erfahrungen mit Kerberos hatte er bereits 1992 bei der Systemadministration einer AFS Umgebung gesammelt. Mit LDAP beschäftigt er sich seit 2003 Jahren im Zusammenhang mit Samba Migrationsprojekten.

Michael Weiser hat sein Studium an der Hochschule für Technik, Wirtschaft und Kultur Leipzig als Diplominformatiker (FH) abgeschlossen. Dazu gehörte auch ein integriertes Auslandsstudium am Bolton Institute in Bolton, Lancashire, UK mit dem Abschluss BA/BSc (Bachelor). Berufserfahrung sammelte er seit 1996 durch die Administration mehrerer Rechnerlaboratorien für Produktion und Ausbildung vernetzt mit Linux, SGI IRIX, Sun Solaris, Novell Netware und Mac OS X mit besonderer Ausrichtung auf Sicherheit. Später durch seine Arbeit als UNIX Systemadministrator am Bolton Institute mit Fokus auf Linux, Sun Solaris, HP-UX und Hochverfügbarkeit. Seit Anfang 2004 arbeitet er ebenfalls bei der science + computing ag. Dort begleitet er Projekte und Workshops zu den Themen LDAP und Kerberos sowie High-Performance-Computing.