Kerberos/LDAP
Das zweitägige Tutorium wendet sich an Administratoren reiner Linux-Netze oder gemischter Linux/Windows-Umgebungen. Vorausgesetzt werden Linux Administrationserfahrung, Netzwerkerfahrung, sowie ein Grundverständnis symmetrischer und asymmetrischer kryptographischer Verfahren.
Am Anfang jedes Tages gibt ein ca. zweistündigen Vortrag ein Überblick über das Thema. Den Rest des Tages setzen die Teilnehmer das vermittelte Wissen in einem virtualisierten Testnetz praktisch um.
1. Tag: Kerberos - ein kryptographischer Authentisierungsdienst
Vortrag: Der Kerberos-Authentisierungsdienst
Der Theorievortrag zu Beginn des ersten Tages beschäftigt sich mit den Designzielen von Kerberos, den Rahmenbedingungen, denen diese Ziele unterliegen, sowie ihrer Umsetzung in der aktuellen Version 5 des Kerberos-Protokolls.
Grundlegender Bestandteil des Kerberos-Konzeptes ist das so genannte Single-Sign-On. Dabei gibt ein Benutzer nur einmal zu Beginn einer Sitzung sein Passwort an und kann danach ohne weitere Nachfragen alle Netzwerkdienste nutzen. Der Vortrag beschreibt, wie sich Single-Sign-On praktisch umsetzen lässt, welche Probleme dabei auftreten und wie Kerberos V5 sie löst.
Praxis: Aufbau einer Kerberos-Realm
In Zweiergruppen setzen die Teilnehmer zunächst einen eigenen MIT-Kerberos-Server auf, das so genannte Key Distribution Center (KDC). Im Anschluss binden sie mit Hilfe der Pluggable Authentication Modules (PAM) eine Linux-Workstation in die Kerberos-Realm ein. Auch die Anmeldung an einem Arbeitsplatzrechner unter Windows XP integrieren sie mit Hilfe frei verfügbarer Werkzeuge. Zum Abschluss des ersten Workshoptages kerberisieren die Teilnehmer wahlweise einen Apache-Webserver und nutzen den Dienst passwortfrei mit den Browsern Firefox/Iceweasel und Internet Explorer oder stellen Dateisysteme kerberisiert über NFSv4 im Netz zur Verfügung.
2. Tag: LDAP - ein hierarchischer Verzeichnisdienst
Vortrag: Lightweight Directory Access Protocol (LDAP)
Der zweite Tag beginnt mit einem Überblick der Entwicklungsgeschichte des Verzeichnisdienstes LDAP. Der weitere Vortrag erläutert die Verwandtschaft zwischen LDAP und X.500, leitet daraus Gemeinsamkeiten und Unterschiede ab und stellt die Stärken und Schwächen eines allgemeinen Verzeichnisses dar. Die Konzepte der Delegation und Replikation werden eingeführt und zum Abschluss Einsatzmöglichkeiten und konkrete Probleme von LDAP als Verzeichnisdienst vorgestellt.
Praxis: Aufbau eines Verzeichnisses
Wieder unter Linux setzen die Teilnehmer mit OpenLDAP einen Verzeichnisdienst auf und üben den Umgang damit auf der Kommandozeile und mit Hilfe graphischer Werkzeuge.
Um die Verfügbarkeit des Verzeichnisses zu erhöhen, replizieren die Teilnehmer den LDAP-Server unter Verwendung des syncrepl-Verfahrens. Den Name Service Switch (NSS) der am Vortag bereits kerberisierten Linux-Workstation konfigurieren sie so, dass alle Nutzerinformationen über LDAP bezogen werden.Anschließend kerberisieren sie unter Verwendung des Simple Authentication and Security Layers (SASL) den Zugriff auf den LDAP-Dienst. So lässt sich die Vertraulichkeit und Integrität der abgefragten Daten gewährleisten.
Damit schließt sich der Bogen zum ersten Tag: Der Authentisierungsdienst Kerberos und der Verzeichnisdienst LDAP ergänzen sich zu einer sicheren und skalierbaren Infrastruktur zur einheitlichen Benutzerverwaltung in heterogenen Umgebungen.
Referenten
Michael Weiser hat sein Studium an der Hochschule für Technik, Wirtschaft und Kultur Leipzig als Diplominformatiker (FH) abgeschlossen. Dazu gehörte auch ein integriertes Auslandsstudium am Bolton Institute in Bolton, Lancashire, UK mit dem Abschluss BA/BSc (Bachelor). Berufserfahrung sammelte er seit 1996 durch die Administration mehrerer Rechnerlaboratorien fuer Produktion und Ausbildung vernetzt mit Linux, SGI IRIX, Sun Solaris, Novell Netware und Mac OS X mit besonderer Ausrichtung auf Sicherheit. Später durch seine Arbeit als Unix- Systemadministrator am Bolton Institute mit Fokus auf Linux, Sun Solaris, HP-UX und Hochverfügbarkeit. Seit Anfang 2004 arbeitet er bei der science + computing ag. Hier begleitet er Projekte und Workshops zu den Themen LDAP, Kerberos und AD-Integration sowie High-Performance-Computing.
Daniel Kobras hat an der Universität Tübingen in den Bereichen Theoretische Astrophysik und Computational Physics hautnahe Erfahrungen als Administrator komplexer Rechnernetze gesammelt. Als freier Journalist wie auch als Entwickler für die Linux-Distribution Debian konnte er auch in seiner Freizeit den IT-Themen nicht entfliehen. Der Diplom-Physiker arbeitet seit Anfang 2007 bei der Tübinger science+computing ag und blieb dort nicht nur dem High-Performance-Computing treu, sondern beschäftigt sich darüber hinaus auch mit der Verwaltung heterogener Netze.
Hardware-Voraussetzungen
Die benötigte Hardware wird gestellt, die Teilnehmer arbeiten in Zweiergruppen an einem PC.
Datum und Anmeldung
Dieses zweitägige Tutorium findet am Donnerstag dem 29. Mai, und Freitag, dem 30. Mai, jeweils von 10:00-18:00 statt. Die Teilnahmegebühr beträgt pro Person 1.071 Euro inkl. MwSt.
Nutzen Sie bitte dieses Formular zur Anmeldung.
Wenden Sie sich bei Fragen bitte an Herrn Grüttke, Messe Berlin, +49-30-3038-2326, oder per E-Mail an tutorials@linuxtag.org.