Kerberos

Kerberos

by Mark Pröhl
Released September 2012
Publisher(s): dpunkt
ISBN: 97833898644440

Read it now on the O’Reilly learning platform with a 10-day free trial.

O’Reilly members get unlimited access to books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Book description

  • Kerberos ist die populärste Software für Single Sign-on+ Einziges deutsches Buch+ Autor führt seit Jahren erfolgreich Kerberos-Workshops durch

Table of contents

  1. Cover
  2. Titel
  3. Impressum
  4. Über dieses Buch
    1. Welche Ziele hat dieses Buch?
    2. Für wen ist das Buch?
    3. Welche Voraussetzungen sollte der Leser mitbringen?
    4. Wie ist das Buch aufgebaut?
    5. Die Beispielumgebung
      1. Verwendete Benutzernamen
      2. Verwendete Passwörter
    6. Typografische Konventionen
      1. Im Text
      2. In den Listings
    7. Danksagung
    8. Kontakt
    9. Im Internet
  5. Inhaltsverzeichnis
  6. Teil I Kerberos
    1. 1 Kerberos im Überblick
      1. 1.1 Ursprung am MIT: Das Athena-Projekt
        1. Das Athena-Projekt
        2. Teilprojekte
        3. Auswirkungen auf die Sicherheit
      2. 1.2 Versionen des Kerberos-Protokolls
      3. 1.3 Standardisierung
      4. 1.4 Implementierungen
        1. 1.4.1 Kerberos v4
        2. 1.4.2 Kerberos v5
        3. Microsoft Active Directory
        4. Samba 4
        5. Java
        6. 1.4.3 Interoperabilität
    2. 2 Grundlagen der Netzwerkauthentisierung mit Kerberos
      1. 2.1 Authentisierung
        1. 2.1.1 Authentisierungsmerkmale
        2. Kategorien
        3. Verwendung
        4. 2.1.2 Problematik der Passwörter
        5. 2.1.3 Lokale Anmeldung vs. Netzwerkauthentisierung
        6. Client-Server
        7. Lokale vs. entfernte Anmeldung
      2. 2.2 Authentisierung mit Kerberos
        1. 2.2.1 KDC
        2. 2.2.2 Realm
        3. 2.2.3 Principals
        4. 2.2.4 Tickets
        5. 2.2.5 Gegenseitige Authentisierung
        6. 2.2.6 Lokale Anmeldung und Kerberos
      3. 2.3 Delegation
      4. 2.4 Autorisierung, Zugriffskontrolle und Namensdienste
        1. 2.4.1 Authentisierung ist Voraussetzung
        2. 2.4.2 Dienste und Identitäten
        3. 2.4.3 Autorisierung und Kerberos
      5. 2.5 Single Sign-on (SSO)
      6. 2.6 Zusammenfassung
    3. 3 Kerberos aus Anwendersicht
      1. 3.1 Die Beispielumgebung
      2. 3.2 Lokale Anmeldung
      3. 3.3 Der Credential Cache
      4. 3.4 Anmeldung an Netzwerkdiensten
      5. 3.5 Delegation
      6. 3.6 Eine Demo-Webseite
      7. 3.7 Umgang mit dem Credential Cache
      8. 3.8 Zusammenfassung
    4. 4 Sicherheit und Kryptografie
      1. 4.1 Sicherheitsüberlegungen
        1. 4.1.1 Allgemeine Sicherheitsanforderungen
        2. 4.1.2 Die beteiligten Systemkomponenten
        3. Das unsichere Netzwerk
        4. Die unsicheren Arbeitsplatzrechner
        5. Die unsicheren Server
        6. Der Authentisierungsdienst
        7. Zusammenfassung
        8. 4.1.3 Anforderungen an Kerberos
        9. Randbedingungen
        10. Was Kerberos nicht leisten kann
      2. 4.2 Kryptografie in der Netzwerksicherheit
        1. 4.2.1 Vertraulichkeit
        2. Ver- und Entschlüsselung
        3. Symmetrische und asymmetrische Verschlüsselung
        4. Betriebsarten
        5. 4.2.2 Integrität
        6. Kryptografische Hashfunktionen
        7. Message Authentication Codes
        8. 4.2.3 Authentisierung
        9. Beispiel: Traditionelle Unix-Authentisierung
        10. Beispiel: Netzwerkauthentisierung per Klartextpasswort
        11. Gemeinsame Geheimnisse
        12. Beispiel: Challenge-Response-Verfahren
        13. Beispiel: Kerberos-Authentikator
        14. 4.2.4 Passwörter, Schlüssel und Schlüsselaustausch
        15. Schlüssellänge
        16. Vom Passwort zum Schlüssel
        17. Salting
        18. Lebensdauer der Schlüssel
        19. Schlüsselaustausch im asymmetrischen Fall
        20. Schlüsselaustausch im symmetrischen Fall
        21. 4.2.5 Zusammenfassung
    5. 5 Wie funktioniert Kerberos v5?
      1. 5.1 Das Funktionsprinzip im Überblick
        1. 5.1.1 Voraussetzungen
        2. 5.1.2 Das einstufige Kerberos-Verfahren
        3. 5.1.3 Diskussion
        4. 5.1.4 Das zweistufige Kerberos-Verfahren
        5. 5.1.5 Zusammenfassung
      2. 5.2 Das Funktionsprinzip im Detail
        1. 5.2.1 Die KDC-Datenbank
        2. 5.2.2 Der Authentication Service (AS)
        3. Die AS-REQ-Nachricht
        4. Fehlernachrichten des AS
        5. Pre-Authentication
        6. Verwendung von TCP
        7. Die AS-REP-Nachricht
        8. 5.2.3 Zugriff auf kerberisierte Dienste
        9. Die AP-REQ-Nachricht
        10. Maßnahmen gegen Replay-Angriffe
        11. Die AP-REP-Nachricht
        12. 5.2.4 Der Ticket-Granting Service (TGS)
        13. Der Principal-Name des TGS
        14. Die TGS-REQ-Nachricht
        15. Die TGS-REP-Nachricht
      3. 5.3 Zusammenfassung
    6. 6 Kerberos für Fortgeschrittene
      1. 6.1 KDC-Optionen
        1. 6.1.1 Optionen für Ticket Renewing
        2. 6.1.2 Optionen für Ticket Postdating
        3. 6.1.3 Optionen für die Kerberos-Delegation
        4. 6.1.4 Sonstige Optionen
      2. 6.2 Ticket Flags
        1. 6.2.1 Flags für Ticket Renewing
        2. 6.2.2 Flags für Ticket Postdating
        3. 6.2.3 Flags für die Kerberos-Delegation
        4. 6.2.4 Sonstige Flags
      3. 6.3 AP-Optionen
      4. 6.4 Tickets automatisiert erneuern
      5. 6.5 Tickets für die Zukunft
      6. 6.6 Delegation zum Ersten
        1. 6.6.1 Ticket Forwarding
        2. 6.6.2 Ticket Proxying
      7. 6.7 Authentisierung zwischen Realms
        1. 6.7.1 Grundsätzliches zu Vertrauensstellung
        2. 6.7.2 Zwei Realms
        3. 6.7.3 Mehr als zwei Realms
      8. 6.8 Namenskanonisierung und Referrals
        1. 6.8.1 Kanonisierung der Client-Principal-Namen
        2. 6.8.2 Kanonisierung der Dienste-Principal-Namen
        3. 6.8.3 Verweise an entfernte Realms
      9. 6.9 Kerberos und Autorisierungsdaten
      10. 6.10 User-to-User-Authentisierung
      11. 6.11 Delegation zum Zweiten
        1. 6.11.1 Constrained Delegation
        2. 6.11.2 Protocol Transition
        3. 6.11.3 Diskussion
      12. 6.12 Initiale Authentisierung mit Zertifikaten
        1. 6.12.1 Eine Lösung für die Passwort-Problematik
        2. 6.12.2 Das Funktionsprinzip von PKINIT
        3. 6.12.3 Fazit
  7. Teil II Zentrale Infrastrukturen
    1. 7 Grundlegende Infrastruktur
      1. 7.1 Überblick
      2. 7.2 DNS-Namensauflösung mit BIND
        1. 7.2.1 BIND installieren
        2. 7.2.2 Zonen einrichten
        3. 7.2.3 Starten und Testen
      3. 7.3 Zeitsynchronisation mit NTP
      4. 7.4 Certificate Authority (CA) mit OpenSSL
        1. 7.4.1 Einrichtung der CA
        2. 7.4.2 Einen Zertifikats-Request erzeugen
        3. 7.4.3 Das Zertifikat unterschreiben
      5. 7.5 Verzeichnisdienst mit OpenLDAP
        1. 7.5.1 Installation und Konfiguration
        2. 7.5.2 LDAP-Datenbank für dc=example,dc=com
        3. 7.5.3 Ein erster Test
        4. 7.5.4 Sicherheit
    2. 8 Das Key Distribution Center von MIT Kerberos
      1. 8.1 Übersicht
      2. 8.2 Softwareinstallation
      3. 8.3 Konfiguration
        1. 8.3.1 Der Master Key der KDC-Datenbank
        2. 8.3.2 Zeitangaben bei MIT Kerberos
        3. 8.3.3 Verschlüsselungstypen
        4. 8.3.4 Die Datei kdc.conf
        5. Struktur der kdc.conf
        6. Parameter im Abschnitt [kdcdefaults]
        7. Parameter im Abschnitt [realms]
        8. Parameter im Abschnitt [logging]
        9. Anpassungen an der kdc.conf
      4. 8.4 Initialisierung der KDC-Datenbank
        1. 8.4.1 Die Datenbank mit kdb5_util initialisieren
        2. 8.4.2 Die initiale Datenbank
        3. 8.4.3 Mit kadmin.local weitere Principals anlegen
        4. 8.4.4 Master Key in Stash-Datei ablegen
      5. 8.5 Starten des KDC
      6. 8.6 Ein erster Test
    3. 9 Die Administration von MIT Kerberos
      1. 9.1 Der Kadmin-Dienst
      2. 9.2 Administrative Zugriffe kontrollieren
      3. 9.3 Der Kpasswd-Dienst
      4. 9.4 Starten der administrativen Dienste
      5. 9.5 Principals verwalten
        1. 9.5.1 Passwortrichtlinien
        2. 9.5.2 Principal-Eigenschaften
        3. 9.5.3 Anwender-Principals anlegen
        4. 9.5.4 Dienste-Principals anlegen
        5. 9.5.5 Verschlüsselungstypen der Principals verwalten
      6. 9.6 Keytabs verwalten
      7. 9.7 Service Keys ändern
    4. 10 Die Clientkommandos von MIT Kerberos
      1. 10.1 Installation und Konfiguration
      2. 10.2 Die Kommandos kinit und klist
        1. 10.2.1 Tickets holen
        2. 10.2.2 Ticket-Eigenschaften anzeigen und beeinflussen
        3. 10.2.3 Protokoll-Requests beeinflussen
        4. 10.2.4 Sonstige Kommandozeilenoptionen
        5. 10.2.5 Service Tickets holen
        6. 10.2.6 Mit Keytabs arbeiten
      3. 10.3 Das Kommando kvno
      4. 10.4 Das Kommando kpasswd
      5. 10.5 Das Kommando kdestroy
      6. 10.6 Die Kommandos k5start und krenew
        1. 10.6.1 krenew
        2. 10.6.2 k5start
    5. 11 Die Konfiguration der MIT Libraries
      1. 11.1 Die Datei krb5.conf
        1. 11.1.1 Die Struktur der krb5.conf
        2. 11.1.2 Konfigurationsabschnitte
        3. 11.1.3 Parameter im Abschnitt [libdefaults]
        4. 11.1.4 Parameter im Abschnitt [realms]
        5. 11.1.5 Parameter im Abschnitt [domain_realm]
        6. 11.1.6 Parameter im Abschnitt [appdefaults]
        7. 11.1.7 Parameter im Abschnitt [logging]
        8. 11.1.8 Die krb5.conf für den Realm EXAMPLE.COM
      2. 11.2 Konfiguration über DNS
        1. 11.2.1 SRV Records
        2. 11.2.2 TXT Records
      3. 11.3 Konfiguration mit Umgebungsvariablen
    6. 12 Ausfallsicherheit für MIT Kerberos
      1. 12.1 Backup der KDC-Datenbank
      2. 12.2 Wiederherstellung der KDC-Datenbank
      3. 12.3 Replikation der KDC-Datenbank
        1. 12.3.1 Möglichkeiten der Kerberos-Replikation
        2. 12.3.2 Sicherheit der Replikation
      4. 12.4 Replikation bei MIT Kerberos
        1. 12.4.1 Ein Slave KDC einrichten
        2. 12.4.2 Schritte auf dem Master KDC
        3. 12.4.3 Das Slave KDC starten
        4. 12.4.4 Das Slave KDC bekannt machen
        5. 12.4.5 Regelmäßig replizieren
    7. 13 Ein LDAP-Backend für die MIT-Datenbank
      1. 13.1 Überblick
        1. 13.1.1 Erweiterte Funktionalitäten
        2. 13.1.2 Vorgehensweise
        3. 13.1.3 Sicherheit
      2. 13.2 Software, Schema und Objekte
        1. 13.2.1 Software installieren
        2. 13.2.2 Das Schema erweitern
        3. Die Schemadefinition konvertieren
        4. Die Schemaerweiterung einspielen
        5. Attribute indizieren
        6. 13.2.3 Konvention
        7. 13.2.4 Objekte anlegen
        8. 13.2.5 Limits für LDAP-Suchvorgänge
        9. 13.2.6 LDAP-Berechtigungen
      3. 13.3 Das KDC auf LDAP umstellen
        1. 13.3.1 Vorbereitungen
        2. 13.3.2 Konfiguration
        3. 13.3.3 Die KDC-Datenbank im LDAP initialisieren
        4. 13.3.4 Den Realm einrichten
      4. 13.4 Existierende Nutzerobjekte
      5. 13.5 Principal-Aliase
        1. 13.5.1 Client-Aliase
        2. 13.5.2 Dienste-Aliase
      6. 13.6 Ausfallsicherheit mit LDAP
        1. 13.6.1 OpenLDAP auf kdc01 vorbereiten
        2. Den Provider einrichten
        3. Authentisierung zwischen Consumer und Provider
        4. Den Consumer einrichten
        5. 13.6.2 LDAP-Server auf kdc02 einrichten
        6. 13.6.3 Ausfallsicherheit für das KDC
        7. 13.6.4 Die Clientkonfiguration anpassen
      7. 13.7 Lockout Policies
    8. 14 Einen Heimdal Realm einrichten
      1. 14.1 Überblick
      2. 14.2 Vorbereitung
      3. 14.3 Das Key Distribution Center von Heimdal
        1. 14.3.1 Die Datei kdc.conf
        2. 14.3.2 Master Key
        3. 14.3.3 Die KDC-Datenbank initialisieren
        4. 14.3.4 Das KDC starten
      4. 14.4 Die Administration von Heimdal
        1. 14.4.1 Administrative Zugriffe kontrollieren
        2. 14.4.2 Principals verwalten
        3. 14.4.3 Weitere administrative Tätigkeiten
        4. 14.4.4 Passwörter verwalten
      5. 14.5 Die Heimdal-Werkzeuge
      6. 14.6 Ausfallsicherheit für Heimdal
        1. 14.6.1 Ein Slave KDC einrichten
        2. 14.6.2 Starten des hpropd auf dem Slave KDC
        3. 14.6.3 Die Replikation mit Hprop starten
        4. 14.6.4 Regelmäßig replizieren
      7. 14.7 Ein LDAP-Backend für Heimdal
        1. 14.7.1 LDAP vorbereiten
        2. 14.7.2 Das KDC auf LDAP umstellen
        3. 14.7.3 Ausfallsicherheit mit LDAP
    9. 15 Kerberos bei Microsoft Active Directory
      1. 15.1 Active Directory im Überblick
        1. 15.1.1 Kerberos in Active Directory
        2. 15.1.2 AD-Version und Functional Level
      2. 15.2 Testlabor
      3. 15.3 Das Key Distribution Center von Active Directory
        1. 15.3.1 Die Domäne einrichten
        2. 15.3.2 Grundlegende Dienste
        3. 15.3.3 Ein erster Test
        4. 15.3.4 Ausfallsicherheit
      4. 15.4 Kerberos-Administration
        1. 15.4.1 Administrationswerkzeuge
        2. 15.4.2 Überblick über den neuen Realm
        3. 15.4.3 Principals verwalten
        4. Einen Benutzer-Principal anlegen
        5. Einen Host Principal anlegen
        6. Allgemeine Service Principals
        7. Implizite SPNs
        8. 15.4.4 Verschlüsselungstypen
        9. 15.4.5 Keytabs erzeugen
        10. 15.4.6 Kerberos Policies
      5. 15.5 Kerberos-Administration mit LDAP
        1. 15.5.1 LDAP-Suchen im AD
        2. 15.5.2 Ein Benutzerobjekt anlegen
        3. 15.5.3 Diensteobjekte anlegen
        4. 15.5.4 Maschinenobjekte anlegen
      6. 15.6 Weitere Werkzeuge
    10. 16 Kerberos für Fortgeschrittene
      1. 16.1 Verteilte Kerberos-Umgebungen
        1. 16.1.1 Cross-Realm bei MIT Kerberos
        2. Konfiguration der Realm-Topologie über [capaths]
        3. MYDOM.MIT.EXAMPLE.COM → MIT.EXAMPLE.COM
        4. MIT.EXAMPLE.COM → MYDOM.MIT.EXAMPLE.COM
        5. Weitere Trusts zwischen MIT Realms
        6. 16.1.2 Cross-Realm bei Heimdal
        7. Konfiguration der Realm-Topologie über [capaths]
        8. MYDOM.H5L.EXAMPLE.COM → H5L.EXAMPLE.COM
        9. H5L.EXAMPLE.COM → MYDOM.H5L.EXAMPLE.COM
        10. Weitere Trusts zwischen Heimdal Realms
        11. 16.1.3 Cross-Realm bei Active Directory
        12. 16.1.4 Aufbau der Gesamtstruktur
        13. MIT.EXAMPLE.COM ↔ EXAMPLE.COM
        14. H5L.EXAMPLE.COM ↔ EXAMPLE.COM
        15. ADS.EXAMPLE.COM ↔ EXAMPLE.COM
        16. Feinschliff
        17. Test der Cross-Realm-Funktionalität
      2. 16.2 Delegation für Fortgeschrittene
        1. 16.2.1 Vorbereitungen
        2. 16.2.2 Das Ok-As-Delegate Flag
        3. 16.2.3 kimpersonate
        4. 16.2.4 Constrained Delegation und Protocol Transition
      3. 16.3 PKINIT
        1. 16.3.1 Initiale Authentisierung mit Zertifikaten
        2. 16.3.2 PKINIT im Testnetz
        3. Ein X.509-Zertifikat für das KDC
        4. Ein X.509-Zertifikat für den Client
        5. Das KDC konfigurieren
        6. Clientkonfiguration und erster Test
        7. 16.3.3 Kerberos, PKINIT und Smartcards
        8. Karten und Lesegeräte
        9. Die Karte einrichten
        10. Den privaten Schlüssel erzeugen
        11. Das Zertifikat erzeugen
        12. Die Karte mit kinit testen
  8. Teil III Integrierte Umgebungen
    1. 17 Grundlagen
      1. 17.1 Principals und Keytabs verwalten
        1. 17.1.1 Client Principals anlegen
        2. MIT Kerberos
        3. Heimdal
        4. Active Directory
        5. 17.1.2 Funktionalität von Client Principals prüfen
        6. 17.1.3 Dienste-Principals anlegen
        7. MIT Kerberos
        8. Heimdal
        9. Active Directory
        10. 17.1.4 Funktionalität von Dienste-Principals prüfen
        11. 17.1.5 Keytab-Dateien anlegen
        12. MIT Kerberos
        13. Heimdal
        14. Active Directory
        15. 17.1.6 Funktionalität von Keytab-Dateien prüfen
      2. 17.2 Zwischenstand
      3. 17.3 Die nativen Kerberos-Bibliotheken
      4. 17.4 GSS-API
      5. 17.5 SPNEGO
      6. 17.6 SSPI
      7. 17.7 SASL
        1. 17.7.1 Protokolle
        2. 17.7.2 Mechanismen
        3. 17.7.3 Konzepte
        4. 17.7.4 Cyrus SASL
      8. 17.8 Zusammenfassung
    2. 18 LDAP-Infrastruktur
      1. 18.1 LDAP im Überblick
        1. 18.1.1 Begriffe und Standards
        2. 18.1.2 Serverimplementierungen
        3. 18.1.3 Daten Im LDAP
        4. 18.1.4 Verzeichnisoperationen
      2. 18.2 LDAP-Sicherheit
      3. 18.3 Kerberisierung bei Active Directory
      4. 18.4 Kerberisierung bei OpenLDAP
        1. 18.4.1 SASL-Konfiguration
        2. 18.4.2 Principal und Keytab
        3. 18.4.3 Identitäts-Mapping
      5. 18.5 Zusammenfassung
    3. 19 Client-Anbindung
      1. 19.1 Windows-Clients in Active Directory
      2. 19.2 Ausbau der Gesamtstruktur
        1. 19.2.1 LDAP-Referrals einrichten
        2. 19.2.2 Identitäts- und Autorisierungsdaten für Linux
        3. POSIX-Daten
        4. RFC 2307
        5. POSIX-Objekte für OpenLDAP
        6. POSIX-Objekte für Active Directory
        7. Benutzer- und Gruppenobjekte anlegen
      3. 19.3 Linux-Clients in der Infrastruktur mit Kerberos und OpenLDAP
        1. 19.3.1 Name Service Switch (NSS)
        2. 19.3.2 NSS-Module für LDAP
        3. Installation und Grundkonfiguration
        4. Sicherheit
        5. Kerberisierung
        6. Tickets automatisch aktualisieren
        7. Tests des NSS-Anbindung
        8. 19.3.3 Pluggable Authentication Modules (PAM)
        9. 19.3.4 pam-krb5
      4. 19.4 Linux-Clients in Active Directory
      5. 19.5 Linux-Clients in der Gesamtinfrastruktur
        1. 19.5.1 Problemstellung
        2. 19.5.2 slapd als lokaler LDAP-Proxy
        3. 19.5.3 slapd-Konfiguration
        4. 19.5.4 Test der NSS-Anbindung
        5. 19.5.5 PAM-Kerberos-Konfiguration
        6. 19.5.6 Ausblick
      6. 19.6 Zusammenfassung
    4. 20 Elementare Netzwerkdienste unter Unix und Linux
      1. 20.1 Traditionelle Remote-Dienste
        1. 20.1.1 Telnet
        2. Software installieren
        3. Den Dienste-Principal anlegen
        4. Schwache Verschlüsselung erlauben
        5. Kerberisierte Telnet-Sitzung
        6. Tickets weiterleiten
        7. Autorisierung mit .k5login
        8. Die Telnet-Sitzung verschlüsseln
        9. 20.1.2 Kerberisierte Remote Shell: krb5-rsh
        10. 20.1.3 Kerberisierter File Transfer: krb5-ftp
      2. 20.2 Moderne Remote-Dienste mit OpenSSH
        1. 20.2.1 Vorbereitungen
        2. Software installieren
        3. Den Dienste-Principal anlegen
        4. Den Client konfigurieren
        5. Den Dienst konfigurieren
        6. 20.2.2 Kerberisierte Secure-Shell-Sitzung
        7. 20.2.3 Tickets weiterleiten
        8. 20.2.4 Secure-Shell-Client unter Windows
        9. Vorbereitungen
        10. Putty-Sitzung starten
        11. Mit Putty Tickets weiterleiten
        12. Andere Windows-Clients
        13. 20.2.5 OpenSSH ohne Kerberos Tickets
      3. 20.3 Remote-Dienste in verteilter Umgebung
        1. 20.3.1 Cross-Realm-Problematik
        2. 20.3.2 auth_to_local-Mappings
        3. 20.3.3 Heimdal
        4. 20.3.4 Cross-Realm-Anmeldung ohne Kerberos Tickets
    5. 21 Kerberisierte Dateisysteme
      1. 21.1 CIFS
        1. 21.1.1 CIFS-Service unter Windows einrichten
        2. 21.1.2 Authentisierung bei CIFS
        3. 21.1.3 CIFS-Client unter Linux
        4. 21.1.4 CIFS-Service unter Linux: Samba
        5. Kerberisierung von Samba
        6. Konfiguration
        7. Die CIFS-Freigabe testen
        8. 21.1.5 ID Mapping
        9. Windows-SIDs und Unix-IDs zuordnen
        10. Konfiguration und Test
        11. Dateisystem-ACLs
        12. 21.1.6 Heimatverzeichnisse für alle Windows-Nutzer
      2. 21.2 NFS
        1. 21.2.1 Überblick
        2. 21.2.2 NFSv3 ohne Kerberos
        3. 21.2.3 NFSv3 und Sicherheit
        4. 21.2.4 NFSv4
        5. 21.2.5 Kerberisierter NFSv4-Service unter Linux
        6. NFS-Server-Daemons
        7. Die Datei /etc/idmapd.conf
        8. Die Datei /etc/exports
        9. Weitere Konfigurationsdateien bei Ubuntu
        10. 21.2.6 Den Server einrichten
        11. 21.2.7 Kerberisierter NFSv4-Client unter Linux
        12. NFS-Client-Daemons
        13. Konfigurationsdateien
        14. 21.2.8 Den Client einrichten
        15. 21.2.9 NFSv4 und Sicherheit
        16. 21.2.10 NFSv4 in Cross-Realm-Umgebung
        17. 21.2.11 Abschlussarbeiten
    6. 22 Single Sign-on für den Apache-Webserver
      1. 22.1 Kerberos und das HTTP-Protokoll
        1. 22.1.1 Das World Wide Web
        2. 22.1.2 Authentisierung im HTTP-Protokoll
        3. 22.1.3 Negotiate (SPNEGO)
      2. 22.2 Den Apache-Server konfigurieren
        1. 22.2.1 Voraussetzungen
        2. 22.2.2 Principals und Keytab-Einträge
        3. 22.2.3 mod_auth_kerb konfigurieren
      3. 22.3 Browserkonfiguration
        1. 22.3.1 Vertrauenswürdige Seiten konfigurieren
        2. 22.3.2 Zugriff testen
        3. 22.3.3 Delegation konfigurieren
        4. 22.3.4 Delegation testen
      4. 22.4 Autorisierungsdaten und Ticket-Größe
      5. 22.5 Autorisierung über LDAP
      6. 22.6 Beispiel MediaWiki
        1. 22.6.1 Die Anwendung einrichten
        2. 22.6.2 Kerberisierung
      7. 22.7 Zusammenfassung
  9. Teil IV Anhang
    1. A Schnelleinstieg in LDAP
      1. A.1 LDIF
        1. A.1.1 Das LDAP-Datenmodell
        2. A.1.2 LDIF-Repräsentation von LDAP-Daten
        3. A.1.3 Änderungen mit LDIF
      2. A.2 OpenLDAP-Tools
        1. A.2.1 Suchen mit ldapsearch
        2. A.2.2 Authentisierung
        3. A.2.3 Weitere OpenLDAP-Kommandos
      3. A.3 Grafische LDAP-Werkzeuge
    2. B Konfiguration der Betriebssysteme
      1. B.1 Netzwerkparameter
      2. B.2 Ubuntu 10.04
      3. B.3 Windows Server 2008 R2
      4. B.4 Windows 7
    3. C Softwareinstallationen
      1. C.1 Vorbemerkungen
      2. C.2 MIT Kerberos
      3. C.3 MIT-Kerberos-Applikationen
      4. C.4 Heimdal
      5. C.5 k5start
      6. C.6 msktutil
      7. C.7 OpenSC
    4. Literaturverzeichnis
    5. Index
  10. Fußnoten
    1. Kapitel 1
    2. Kapitel 2
    3. Kapitel 3
    4. Kapitel 4
    5. Kapitel 6
    6. Kapitel 7
    7. Kapitel 8
    8. Kapitel 9
    9. Kapitel 10
    10. Kapitel 11
    11. Kapitel 14
    12. Kapitel 15
    13. Kapitel 16
    14. Kapitel 17
    15. Kapitel 18
    16. Kapitel 19
    17. Kapitel 20
    18. Kapitel 21
    19. Kapitel 22

Product information

  • Title: Kerberos
  • Author(s): Mark Pröhl
  • Release date: September 2012
  • Publisher(s): dpunkt
  • ISBN: 97833898644440