Unternehmungen, die eine gewisse Größe erreicht haben und zugleich auf eine längere Bestandsgeschichte zurückblicken können, haben meist eines gemeinsam: eine heterogene IT-Infrastruktur. Infolge technologischer Entwicklungen und Innovationen kommen verschiedene Arten von Betriebssystemen in Kombination mit entsprechender Hardware zum Einsatz. Gerade im Serverbereich finden sich neben Windows-basierenden Systemen unterschiedliche Distributionen von Linux- beziehungsweise Unix-Betriebssystemen. Diese Arbeit zielt darauf ab, mittels des Kerberos-Protokolls in der Version 5 ein einheitliches Authentifizierungssystem zu etablieren, ohne dabei bestehende Prozesse zu beeinflussen.
Derartige Organisationen, die von einer großen Anzahl an Mitarbeitern getragen werden, basieren, bedingt durch die hohe Anzahl der Workstations, meist auf einem Windows dominierten Netzwerk. Die zentrale Verwaltungskomponente bildet in den meisten Fällen ein Active Directory. Das vorrangige Verfahren für eine Authentifizierung der einzelnen Mitarbeiter aber auch von einzelnen Services wird mit dem Kerberos-Protokoll abgewickelt. Durch entsprechende Konfiguration von zur Verfügung stehenden Modulen ist es möglich, Linux- und Unix-Systeme ebenfalls an einen solchen zentralen Verzeichnisdienst anzubinden und auf diese Weise eine Reduktion der Kosten für Verwaltung und Administration bei gleichzeitiger Erhöhung der Sicherheit zu erreichen.
Das Ergebnis dieser Arbeit zeigt, dass ein großes Potential zur Effizienzsteigerung mit dem Einsatz von Kerberos und dessen Sicherheitsfeatures gegeben ist. Obwohl zwischen den Befürwortern der jeweiligen Betriebssysteme nach wie vor Bedenken und Vorurteile herrschen, sind der Sicherheitsgewinn und die Effizienzsteigerung durch den Einsatz einer zentralen Verwaltung für Zugriffsberechtigungen von Benutzerkonten und der Verwaltung von Service Accounts unbestritten. Dies zeigen auch aktuelle Entwicklungen bei den Herstellern, wie beispielsweise Microsoft oder Red Hat, die an einer ständigen Verbesserung zur gegenseitigen Unterstützung arbeiten.

Leseprobe

Inhaltsverzeichnis

1 EINLEITUNG

1.1 Konventionen

1.2 Terminologie

2 KRYPTOGRAFIE IN NETZWERKEN

2.1 Kryptoanalyse

2.2 Übermittlung vertraulicher Informationen

2.2.1 Public Key Encryption

2.2.2 Secret Key Encryption

2.2.3 Klassen von symmetrischen Chiffren

2.2.4 Betriebsarten

2.2.5 Data Encryption Standard

2.2.6 Triple Data Encryption Algorithm

2.2.7 Advanced Encryption Standard

2.2.8 Rivest Cipher 4

2.3 Integrität von Daten

2.3.1 Kryptografische Prüfsummen

2.3.2 Message Authentication Codes

2.4 Zusammenfassung

3 KERBEROS IM ÜBERBLICK

3.1 Kerberos – ein Trusted Third Party System

3.1.1 Abstract Syntax Notation One

3.1.2 Principals, Instances und Realms

3.1.3 Passwords, Keys und Salts

3.1.4 Key Distribution Center

3.1.5 Tickets

3.1.6 Kerberised Services

3.1.7 Keytab Files

3.2 Einsatzgebiete für Kerberos

3.2.1 Single Sign-On

3.2.2 End-to-End Security

3.3 Das Funktionsprinzip von Kerberos

3.3.1 Authentication Service Exchange

3.3.2 Client/Server Authentication Exchange

3.3.3 Ticket Granting Service Exchange

3.4 Kerberos Delegation

3.4.1 Ticket Forwarding

3.4.2 Ticket Proxying

3.4.3 User-to-User-Authentisierung

3.4.4 Cross-Realm-Authentisierung

3.5 Encryption Types

3.6 Zusammenfassung

4 EVOLUTION UND UMGEBENDE TECHNOLOGIEN

4.1 Evolution des Kerberos-Protokolls

4.1.1 V4-Limitierungen und -Schwächen

4.1.2 Änderungen von Kerberos V4 zu V5

4.1.3 Neue V5-Protokoll-Eigenschaften

4.1.4 Authentisierung mittels Zertifikaten

4.1.5 Interfaces und Frameworks

4.2 Microsoft Implementierungen

4.2.1 Constrained Delegation

4.2.2 Protocol Transition

4.3 Umgebende Technologien

4.3.1 Domain Name System

4.3.2 Active Directory Domain Services

4.3.3 Lightweight Directory Access Protocol

4.3.4 NT LAN Manager Protocol

4.3.5 Network Time Protocol

4.3.6 Winbind

4.3.7 Pluggable Authentication Module

4.3.8 Name Service Switch

4.3.9 Secure Shell

4.4 Zusammenfassung

5 LINUX/UNIX-SYSTEME IM HETEROGENEN UMFELD

5.1 Ausgangssituation und Zieldefinition

5.2 Implementierungskonzept und praktische Umsetzung

5.2.1 Administrative Voraussetzungen für die Einbindung:

5.2.2 Technische Voraussetzungen und verwendete Komponenten

5.3 Anbindung eines Linux/Unix Host an ein Active Directory

5.3.1 Netzwerkeinstellungen des Clients

5.3.2 Konfiguration der Zeitsynchronisation

5.3.3 Kerberos-Konfiguration

5.3.4 Winbind als Schnittstelle zum Active Directory

5.3.5 Das Computer-Konto

5.3.6 Nutzung des Active Directory als Datenquelle

5.3.7 Festlegung von Zugriffsbeschränkungen

5.3.8 Test der Implementierung

5.4 Service Principals im Active Directory

5.4.1 Authentisierung mittels Keytab Files

5.4.2 Problematik der Übertragung von Keytab Files

5.5 Publikation eines Webservices

5.5.1 Kanonisierung von Host-Namen

5.5.2 Kerberos und der Apache Webserver

5.5.3 Einsatz von Kerberos bei einer Webanwendung

5.6 Kommerzielle Alternativen

6 ZUSAMMENFASSUNG

Zielsetzung & Themen

Diese Masterarbeit untersucht die Realisierbarkeit einer einheitlichen, effizienten und sicheren Authentifizierung mittels Kerberos-Protokoll (Version 5) in heterogenen IT-Netzwerken, die von einem Active Directory-Verzeichnis verwaltet werden. Das primäre Ziel ist die Schaffung einer Methode, die bestehende Prozesse nicht beeinträchtigt und dabei sowohl die Administration vereinfacht als auch ein Single Sign-On (SSO) auf Linux- und Unix-Systemen ermöglicht.

Analyse kryptografischer Grundlagen und des Kerberos-Protokolls
Evaluation bestehender Implementierungen und Protokoll-Evolution
Entwicklung eines Implementierungskonzepts für die Anbindung von Linux/Unix-Hosts an ein bestehendes Active Directory
Praktische Erprobung und Konfiguration relevanter Softwarekomponenten (Samba, Winbind, PAM, NSS)

Auszug aus dem Buch

3.1 Kerberos – ein Trusted Third Party System

Das Kerberos-Protokoll ermöglicht eine zuverlässige Authentifizierung über offene und unsichere Netze, innerhalb derer eine Kommunikation unterschiedlicher Benutzer, Client- sowie Server-Anwendungen, den sogenannten Principals (siehe Abschnitt 3.1.2), stattfindet. Das Protokoll selbst ist in der Lage, die Kommunikation zwischen diesen abzusichern, um die Echtheit der anfordernden Benutzer und Dienstanbieter garantieren zu können. Dazu sind durch geeignete weiterführende Maßnahmen die Absicherung der beteiligen Endpunkte sowie regelmäßige Aktualisierungen sämtlicher angreifbarer Komponenten eines Netzwerks sicherzustellen.

Nach dem MIT Kerberos Consortium (2007) ist Kerberos „[…] an authentication protocol for trusted hosts on untrusted networks.“ Hier ist besonderes Augenmerk auf die Trusted Hosts zu richten. Jegliche Kerberos-Strategien werden nutzlos, wenn Unberechtigte privilegierten Zugang zu Servern erlangen und die Möglichkeit haben, Dateien mit geheimen Schlüsseln zu kopieren. Kerberos als ein sogenanntes Trusted Third Party System nimmt eine Authentifizierung der Principals vor, eine Autorisierung muss von anderen Systemen erfolgen.

Zusammenfassung der Kapitel

1 EINLEITUNG: Definiert die Relevanz der Authentifizierungssicherheit in heterogenen IT-Umgebungen und stellt die Forschungsfrage zur Realisierbarkeit von Kerberos V5 in derartigen Netzwerken.

2 KRYPTOGRAFIE IN NETZWERKEN: Erläutert die theoretischen Grundlagen der Verschlüsselung, inklusive Symmetrie, Block-/Stromchiffren und kryptografischer Prüfsummen, die für das Kerberos-Protokoll notwendig sind.

3 KERBEROS IM ÜBERBLICK: Beschreibt das Funktionsprinzip von Kerberos, inklusive der KDC-Architektur, Tickets, Principals und der verschiedenen Delegationsmethoden.

4 EVOLUTION UND UMGEBENDE TECHNOLOGIEN: Analysiert die Entwicklung von Kerberos V4 zu V5, die Microsoft-spezifischen Implementierungen sowie die für die Integration relevanten Hilfstechnologien wie DNS, LDAP und PAM.

5 LINUX/UNIX-SYSTEME IM HETEROGENEN UMFELD: Detailliert den praktischen Teil der Arbeit, inklusive der Konfiguration von Winbind, PAM und NSS zur Anbindung eines Linux-Hosts an ein Active Directory.

6 ZUSAMMENFASSUNG: Fasst die Ergebnisse der Untersuchung zusammen und bewertet den wirtschaftlichen sowie sicherheitstechnischen Nutzen der implementierten Kerberos-Lösung.

Schlüsselwörter

Kerberos V5, Authentifizierung, Active Directory, Heterogene Netzwerke, Single Sign-On, Kryptografie, Linux-Administration, Samba, Winbind, PAM, NSS, Sicherheit, Delegation, IT-Infrastruktur, Service Principals.

Häufig gestellte Fragen

Worum geht es in dieser Masterarbeit grundsätzlich?

Die Arbeit beschäftigt sich mit der Implementierung einer einheitlichen und sicheren Authentifizierung in historisch gewachsenen, heterogenen Netzwerken unter Verwendung des Kerberos-Protokolls.

Welche zentralen Themenfelder werden behandelt?

Die zentralen Felder umfassen kryptografische Grundlagen, das Kerberos-Protokoll, die Integration von Windows-Active-Directory-Diensten mit Linux/Unix-Systemen sowie die Sicherheit von Netzwerkzugriffen.

Was ist das primäre Ziel der Arbeit?

Das Ziel ist die Schaffung einer effizienten Authentifizierungslösung, die ein Single Sign-On für Linux- und Unix-Systeme innerhalb einer Microsoft-dominierten Umgebung ermöglicht, ohne bestehende IT-Prozesse zu gefährden.

Welche wissenschaftliche Methode wird verwendet?

Die Arbeit basiert auf einer theoretischen Fundierung der Protokolltechnik sowie einer praktischen Implementierung und Evaluation in einer realen Corporate-Network-Umgebung.

Was wird im Hauptteil behandelt?

Im Hauptteil liegt der Fokus auf der technischen Anbindung von Linux-Clients an ein Active Directory, insbesondere die Konfiguration von Modulen wie Winbind, PAM und NSS sowie die Handhabung von Keytab-Dateien.

Welche Schlüsselwörter charakterisieren die Arbeit?

Kerberos V5, Active Directory, Single Sign-On, Linux/Unix-Integration, Samba/Winbind und Netzwerksicherheit.

Warum ist die Unterscheidung zwischen Authentication (Authentisierung) und Authorization (Autorisierung) wichtig?

Kerberos konzentriert sich auf die sichere Identitätsfeststellung (Authentisierung), während die eigentliche Vergabe von Zugriffsrechten (Autorisierung) weiterhin über andere Mechanismen wie Active-Directory-Gruppen und Access Control Lists (ACLs) gesteuert werden muss.

Welche Herausforderungen ergeben sich bei der Keytab-Übertragung?

Da Keytab-Dateien sensible Schlüsselinformationen enthalten, können sie nicht unsicher über das Netzwerk übertragen werden; es ist ein sicherer Übertragungsweg (z. B. via SCP) erforderlich, um die Integrität der Authentifizierung zu gewährleisten.

Ende der Leseprobe aus 105 Seiten - nach oben

Details

Titel: Effizienter Einsatz der Kerberos V5 Authentifizierung in heterogenen Netzwerken
Hochschule: Campus02 Fachhochschule der Wirtschaft Graz
Note: 2
Autor: Reinhard Weber (Autor:in)
Erscheinungsjahr: 2014
Seiten: 105
Katalognummer: V270531
ISBN (eBook): 9783656614227
ISBN (Buch): 9783656614210
Sprache: Deutsch
Schlagworte: Kerberos Heterogene Netzwerke Sicherheit Kryptografie
Produktsicherheit: GRIN Publishing GmbH

Arbeit zitieren: Reinhard Weber (Autor:in), 2014, Effizienter Einsatz der Kerberos V5 Authentifizierung in heterogenen Netzwerken, München, GRIN Verlag, https://www.grin.com/document/270531

Effizienter Einsatz der Kerberos V5 Authentifizierung in heterogenen Netzwerken