SSH-Authentifizierung über eine ADS mittels Kerberos 5
Roland Mohl19. Juli 2007
04/26/23 [email protected] 2 SSH-Authentifizierung über eine ADS mittels Kerberos 5
Inhalt
Ausgangssituation am RRZE
Zielsetzung des Projekts
Beschreibung der Testumgebung
Funktionsweise von Kerberos 5
Durchführung
Test des Gesamtsystems
Fazit
04/26/23 [email protected] 3 SSH-Authentifizierung über eine ADS mittels Kerberos 5
Ausgangssituation am RRZE
Netzwerkdienste in einer heterogenen Umgebung
Authentifizierung für jeden Netzwerkdienst
Ablage der Benutzerdaten auf jedem der Dienstserver
Oftmals gleiches Passwort für alle Dienste aus Bequemlichkeit
Dienste mit unverschlüsselter Übertragung von Benutzerdaten
04/26/23 [email protected] 4 SSH-Authentifizierung über eine ADS mittels Kerberos 5
Zielsetzung des Projekts
Einfacheres Arbeiten durch SingleSignOn und Erhöhung der Sicherheit
Zentrale Benutzerverwaltung (Active Directory)
Nur verschlüsselte Übertragung von Benutzerdaten
Test eines Gesamtsystems mit Kerberos 5, Active Directory und einem SSH-Dienst
Test anhand eines SSH-Dienstes auf einem SLES10
SSH-Zugriff von fünf Windows XP Clients aus
04/26/23 [email protected] 5 SSH-Authentifizierung über eine ADS mittels Kerberos 5
Beschreibung der Testumgebung
Vorhandene Komponenten der Testumgebung VMware-Host vmware1 BIND DNS-Server auf einem SLES10
Zusätzliche Komponenten Zwei Windows 2003 Server für ADS- und DNS-Dienst SLES10 für SSH-Dienst Fünf Windows XP Clients
04/26/23 [email protected] 6 SSH-Authentifizierung über eine ADS mittels Kerberos 5
Funktionsweise von Kerberos 5
Kerberos-Server
Key Distribution Center (KDC)
Benutzerdatenbank Ticket Granting Service (TGS)
Client
2. User X + Passwort = OK 5. User X mit TGT darf Dienst nutzen
1. Anfrage nach TGTUser XPasswort
3. Antwort TGT
4. Anfrage ST
mit TGT
6. Antwort ST
Dienst-Server
7. Anfrage nach Service
mit ST9. Erlaubnis für Dienst
04/26/23 [email protected] 7 SSH-Authentifizierung über eine ADS mittels Kerberos 5
Durchführung – Vorbereitung und MS-Komponenten
Vorbereitung aller Komponenten Kopieren und Konfigurieren der VMware-Images Grundkonfiguration
Aufsetzen der zwei Windows-2003-Server Installation des Active Directory Service per Skript DNS-Konfiguration
Aufsetzen der Windows-XP-Clients Einbinden in das Active Directory Installation von Putty (kerberized)
04/26/23 [email protected] 8 SSH-Authentifizierung über eine ADS mittels Kerberos 5
Durchführung – SSH-Dienst
Aufsetzen des SLES10 Installation der Kerberos-Pakete krb5 und krbclient Konfigurieren des Kerberos-Clients Konfigurieren des SSH-Dienstes
Exportieren der Keytabs User in der ADS Tool ktpass der Support-Tools des Windows 2003 Servers
Importieren der Keytabs am SSH-Server Keytabs einlesen Eingelesene Daten in Standard-Keytab schreiben
04/26/23 [email protected] 9 SSH-Authentifizierung über eine ADS mittels Kerberos 5
Test des Gesamtsystems
Anmeldung an Domäne an SSH-Dienst per SingleSignOn
Ausfall des primären Domaincontrollers Anmelden an die Domäne SSH-Anmeldung per SingleSignOn
Überprüfung der Tickets mit den Tools Kerbtray (Windows) Klist (Linux)
04/26/23 [email protected] 10 SSH-Authentifizierung über eine ADS mittels Kerberos 5
Kerbtray
04/26/23 [email protected] 11 SSH-Authentifizierung über eine ADS mittels Kerberos 5
Fazit
Keine zusätzlichen Kosten für Software
Schnelle und einfache Integration in realen Betrieb durch die gesammelten Erfahrungen
Mehr Komfort für Nutzer beim Arbeiten
Erhöhung der Sicherheit bei Authentifizierungen
Das Projekt war ein voller Erfolg
04/26/23 [email protected] 12 SSH-Authentifizierung über eine ADS mittels Kerberos 5
Vielen Dank für Ihre Aufmerksamkeit!
Danke!