Effizienter Einsatz der Kerberos V5 Authentifizierung in heterogenen Netzwerken

Inhaltsverzeichnis

1 EINLEITUNG

1.1 Konventionen

1.2 Terminologie

2 KRYPTOGRAFIE IN NETZWERKEN

2.1 Kryptoanalyse

2.2 Übermittlung vertraulicher Informationen

2.2.1 Public Key Encryption

2.2.2 Secret Key Encryption

2.2.3 Klassen von symmetrischen Chiffren

2.2.4 Betriebsarten

2.2.5 Data Encryption Standard

2.2.6 Triple Data Encryption Algorithm

2.2.7 Advanced Encryption Standard

2.2.8 Rivest Cipher 4

2.3 Integrität von Daten

2.3.1 Kryptografische Prüfsummen

2.3.2 Message Authentication Codes

2.4 Zusammenfassung

3 KERBEROS IM ÜBERBLICK

3.1 Kerberos – ein Trusted Third Party System

3.1.1 Abstract Syntax Notation One

3.1.2 Principals, Instances und Realms

3.1.3 Passwords, Keys und Salts

3.1.4 Key Distribution Center

3.1.5 Tickets

3.1.6 Kerberised Services

3.1.7 Keytab Files

3.2 Einsatzgebiete für Kerberos

3.2.1 Single Sign-On

3.2.2 End-to-End Security

3.3 Das Funktionsprinzip von Kerberos

3.3.1 Authentication Service Exchange

3.3.2 Client/Server Authentication Exchange

3.3.3 Ticket Granting Service Exchange

3.4 Kerberos Delegation

3.4.1 Ticket Forwarding

3.4.2 Ticket Proxying

3.4.3 User-to-User-Authentisierung

3.4.4 Cross-Realm-Authentisierung

3.5 Encryption Types

3.6 Zusammenfassung

4 EVOLUTION UND UMGEBENDE TECHNOLOGIEN

4.1 Evolution des Kerberos-Protokolls

4.1.1 V4-Limitierungen und -Schwächen

4.1.2 Änderungen von Kerberos V4 zu V5

4.1.3 Neue V5-Protokoll-Eigenschaften

4.1.4 Authentisierung mittels Zertifikaten

4.1.5 Interfaces und Frameworks

4.2 Microsoft Implementierungen

4.2.1 Constrained Delegation

4.2.2 Protocol Transition

4.3 Umgebende Technologien

4.3.1 Domain Name System

4.3.2 Active Directory Domain Services

4.3.3 Lightweight Directory Access Protocol

4.3.4 NT LAN Manager Protocol

4.3.5 Network Time Protocol

4.3.6 Winbind

4.3.7 Pluggable Authentication Module

4.3.8 Name Service Switch

4.3.9 Secure Shell

4.4 Zusammenfassung

5 LINUX/UNIX-SYSTEME IM HETEROGENEN UMFELD

5.1 Ausgangssituation und Zieldefinition

5.2 Implementierungskonzept und praktische Umsetzung

5.2.1 Administrative Voraussetzungen für die Einbindung:

5.2.2 Technische Voraussetzungen und verwendete Komponenten

5.3 Anbindung eines Linux/Unix Host an ein Active Directory

5.3.1 Netzwerkeinstellungen des Clients

5.3.2 Konfiguration der Zeitsynchronisation

5.3.3 Kerberos-Konfiguration

5.3.4 Winbind als Schnittstelle zum Active Directory

5.3.5 Das Computer-Konto

5.3.6 Nutzung des Active Directory als Datenquelle

5.3.7 Festlegung von Zugriffsbeschränkungen

5.3.8 Test der Implementierung

5.4 Service Principals im Active Directory

5.4.1 Authentisierung mittels Keytab Files

5.4.2 Problematik der Übertragung von Keytab Files

5.5 Publikation eines Webservices

5.5.1 Kanonisierung von Host-Namen

5.5.2 Kerberos und der Apache Webserver

5.5.3 Einsatz von Kerberos bei einer Webanwendung

5.6 Kommerzielle Alternativen

6 ZUSAMMENFASSUNG

Zielsetzung & Themen

Diese Masterarbeit untersucht die Realisierbarkeit einer einheitlichen, effizienten und sicheren Authentifizierung mittels Kerberos-Protokoll (Version 5) in heterogenen IT-Netzwerken, die von einem Active Directory-Verzeichnis verwaltet werden. Das primäre Ziel ist die Schaffung einer Methode, die bestehende Prozesse nicht beeinträchtigt und dabei sowohl die Administration vereinfacht als auch ein Single Sign-On (SSO) auf Linux- und Unix-Systemen ermöglicht.

• Analyse kryptografischer Grundlagen und des Kerberos-Protokolls
• Evaluation bestehender Implementierungen und Protokoll-Evolution
• Entwicklung eines Implementierungskonzepts für die Anbindung von Linux/Unix-Hosts an ein bestehendes Active Directory
• Praktische Erprobung und Konfiguration relevanter Softwarekomponenten (Samba, Winbind, PAM, NSS)

Auszug aus dem Buch

Zusammenfassung der Kapitel

1 EINLEITUNG: Definiert die Relevanz der Authentifizierungssicherheit in heterogenen IT-Umgebungen und stellt die Forschungsfrage zur Realisierbarkeit von Kerberos V5 in derartigen Netzwerken.

2 KRYPTOGRAFIE IN NETZWERKEN: Erläutert die theoretischen Grundlagen der Verschlüsselung, inklusive Symmetrie, Block-/Stromchiffren und kryptografischer Prüfsummen, die für das Kerberos-Protokoll notwendig sind.

3 KERBEROS IM ÜBERBLICK: Beschreibt das Funktionsprinzip von Kerberos, inklusive der KDC-Architektur, Tickets, Principals und der verschiedenen Delegationsmethoden.

4 EVOLUTION UND UMGEBENDE TECHNOLOGIEN: Analysiert die Entwicklung von Kerberos V4 zu V5, die Microsoft-spezifischen Implementierungen sowie die für die Integration relevanten Hilfstechnologien wie DNS, LDAP und PAM.

5 LINUX/UNIX-SYSTEME IM HETEROGENEN UMFELD: Detailliert den praktischen Teil der Arbeit, inklusive der Konfiguration von Winbind, PAM und NSS zur Anbindung eines Linux-Hosts an ein Active Directory.

6 ZUSAMMENFASSUNG: Fasst die Ergebnisse der Untersuchung zusammen und bewertet den wirtschaftlichen sowie sicherheitstechnischen Nutzen der implementierten Kerberos-Lösung.

Schlüsselwörter

Kerberos V5, Authentifizierung, Active Directory, Heterogene Netzwerke, Single Sign-On, Kryptografie, Linux-Administration, Samba, Winbind, PAM, NSS, Sicherheit, Delegation, IT-Infrastruktur, Service Principals.

Häufig gestellte Fragen

Worum geht es in dieser Masterarbeit grundsätzlich?

Die Arbeit beschäftigt sich mit der Implementierung einer einheitlichen und sicheren Authentifizierung in historisch gewachsenen, heterogenen Netzwerken unter Verwendung des Kerberos-Protokolls.

Welche zentralen Themenfelder werden behandelt?

Die zentralen Felder umfassen kryptografische Grundlagen, das Kerberos-Protokoll, die Integration von Windows-Active-Directory-Diensten mit Linux/Unix-Systemen sowie die Sicherheit von Netzwerkzugriffen.

Was ist das primäre Ziel der Arbeit?

Das Ziel ist die Schaffung einer effizienten Authentifizierungslösung, die ein Single Sign-On für Linux- und Unix-Systeme innerhalb einer Microsoft-dominierten Umgebung ermöglicht, ohne bestehende IT-Prozesse zu gefährden.

Welche wissenschaftliche Methode wird verwendet?

Die Arbeit basiert auf einer theoretischen Fundierung der Protokolltechnik sowie einer praktischen Implementierung und Evaluation in einer realen Corporate-Network-Umgebung.

Was wird im Hauptteil behandelt?

Im Hauptteil liegt der Fokus auf der technischen Anbindung von Linux-Clients an ein Active Directory, insbesondere die Konfiguration von Modulen wie Winbind, PAM und NSS sowie die Handhabung von Keytab-Dateien.

Welche Schlüsselwörter charakterisieren die Arbeit?

Kerberos V5, Active Directory, Single Sign-On, Linux/Unix-Integration, Samba/Winbind und Netzwerksicherheit.

Warum ist die Unterscheidung zwischen Authentication (Authentisierung) und Authorization (Autorisierung) wichtig?

Kerberos konzentriert sich auf die sichere Identitätsfeststellung (Authentisierung), während die eigentliche Vergabe von Zugriffsrechten (Autorisierung) weiterhin über andere Mechanismen wie Active-Directory-Gruppen und Access Control Lists (ACLs) gesteuert werden muss.

Welche Herausforderungen ergeben sich bei der Keytab-Übertragung?

Da Keytab-Dateien sensible Schlüsselinformationen enthalten, können sie nicht unsicher über das Netzwerk übertragen werden; es ist ein sicherer Übertragungsweg (z. B. via SCP) erforderlich, um die Integrität der Authentifizierung zu gewährleisten.