Kerberos/LDAP
Anmelden und Vergessen - Nutzerverwaltung und Single-Sign-On in heterogenen Umgebungen mit Kerberos und LDAP: Diesem Thema widmet sich das zweitägige Tutorium, das am Mittwoch/Donnerstag (30./31. Mai 2007) stattfindet.
Inhalt des Tutoriums:
Heutige IT-Umgebungen sind häufig heterogen: UNIX/Linux-Derivate und Microsoft-Betriebssysteme werden nebeneinander eingesetzt. Administratoren stehen vor der Herausforderung einer einheitlichen Verwaltung solcher Umgebungen. Insbesondere eine einheitliche Benutzerverwaltung ist oft gefragt: Benutzerdaten sollen einmal in ein zentrales Verzeichnis eingepflegt werden und sofort allen Systemen zur Verfügung stehen. Hierfür bieten Verzeichnisdienste wie LDAP ideale Voraussetzungen. Oft ist neben der einheitlichen Verwaltung auch ein sicheres Single-Sign-On ein wichtiger Aspekt für die Entscheidung für oder gegen ein Benutzerverwaltungs-Konzept. Unter Single-Sign-On versteht man, dass ein Benutzer, nachdem er sich lokal an einer Workstation mit seinem Passwort angemeldet hat, auf Netzwerk-Dienste zugreifen kann, ohne erneut ein Passwort angeben zu müssen. Kerberos kann sicherlich als das "State of the Art" Single-Sign-On-Konzept angesehen werden.
Themen im Detail/Ablauf des Tutoriums:
Der Workshop beschäftigt sich mit der Authentisierung über Kerberos 5 und der Benutzerverwaltung mittels LDAP. In Vorträgen werden die Schwerpunkte theoretisch behandelt und anschließend in Übungen am Rechner praktisch umgesetzt. Am Beispiel einiger Dienste und Anwendungen wird die Integration von Kerberos und LDAP zu einer übergreifenden Kerberos/LDAP-Infrastruktur für Windows und Linux demonstriert.
Im ersten Teil wird Kerberos als ein kryptographischer Authentisierungsdienst vorgestellt. Die Design-Ziele, Rahmenbedingungen der Umsetzung sowie die tatsächliche Umsetzung in Form von Kerberos 5 werden erläutert. Im Vortrag wird entwickelt, wie das Ziel eines Single-Sign-On umgesetzt werden kann, welche Probleme dabei auftreten und wie diese mit kryptographischen Methoden bei Kerberos 5 gelöst werden.
Im praktischen Teil wird unter Debian GNU/Linux ein Kerberos Key-Distribution-Center (KDC) aufgesetzt. Die Authentisierung eines Linux-Rechners wird über die PAM in die Kerberos Realm integriert, ebenso wird eine Windows-XP-Workstation eingebunden. Zusätzlich zum integrierten Login wird am Beispiel des Web-Servers Apache eine Anwendung kerberisiert. Als Clients stehen Mozilla 1.8 und Internet Explorer 6 zur Verfügung.
Im zweiten Teil wird LDAP als hierarchischer Verzeichnisdienst vorgestellt. Zunächst wird in einem kurzen Überblick die Entwicklungsgeschichte und Verwandtschaft zum X.500 Verzeichnisdienst dargestellt. Daraus werden Gemeinsamkeiten und Unterschiede zwischen LDAP und X.500 entwickelt. Darauf aufbauend werden die Stärken und Schwächen eines so allgemeinen Verzeichnisses dargestellt. Zum Schluss werden Einsatzmöglichkeiten und konkrete Probleme von LDAP als Verzeichnisdienst vorgestellt.
Unter Debian GNU/Linux wird ein OpenLDAP-Server aufgesetzt und mit Kommadozeilen- und grafischen Werkzeugen populiert. Der Netzwerkzugriff auf den Server wird mit TLS abgesichert. Dazu ist ein kurzer Exkurs in Zertifikatsmanagement mit OpenSSL notwendig. Der Server wird zur Erhöhung der Verfügbarkeit repliziert. Anschließend wird der Zugriff auf den LDAP-Dienst kerberisiert und die Namensdienste von Linux- und Windows-Rechnern daran angebunden. Als Anwendung der aufgebauten LDAP-Infrastruktur steht den Teilnehmern die Adressbuchfunktion von Mozilla zur Verfügung.
Abschließend werden die Benutzerdatenbanken der Linux- und der Windows-Workstation an LDAP angebunden.
Zusammen mit dem im ersten Teil eingerichteten Kerberos-Dienst ergibt sich so die übergreifende Kerberos/LDAP-Authentisierungs- und -Namendienste-Infrastruktur.
Zielgruppe/Voraussetzungen:
Zielgruppe des Workshops sind Administratoren reiner Linux Netze oder gemischter Linux/Windows Umgebungen. Vorausgesetzt werden Linux Administrationserfahrung, Netzwerkerfahrung, sowie ein Grundverstaendnis symmetrischer und asymmetrischer kryptographischer Verfahren.
Mitzubringen:
Da der Workshop auf vorbereiteten Rechnern mit mehreren VMWare-Images abgehalten wird, muss keine eigene Infrastruktur mitgebracht werden.
Lernziel/Benefit:
Die Teilnehmer erlernen im Workshop den praktischen Umgang mit Kerberos und LDAP. Dazu werden auch die theoretischen Grundlagen zur Kerberos-Authentisierung und zu LDAP-Verzeichnissen vermittelt. Am Ende des Workshops hat jeder Teilnehmer eine eigene Infrastruktur zur einheitlichen Benutzerverwaltung unter UNIX und Windows aufgebaut und die notwendigen Kenntnisse erworben, dies in eigenen Projekten umzusetzen.
Über die Referenten:
Mark Pröhl beendete im Januar 1999 sein Physikstudium an der Universität in Tübingen mit einer Diplomarbeit am Institut für Theoretische Physik. Seine dort gesammelten Kenntnisse in der Systemadministration setzt er seit dem 1. April 1999 bei s+c im Geschäftsbereich IT-Service Tübingen ein. Dort befasst er sich vor allem mit Betrieb und Konzeption heterogener Unix/Linux/Windows- Umgebungen und so auch intensiv mit den Infrastruktur-Komponenten Samba, LDAP und Kerberos.