|
German Unix User Group (GUUG) Workshop Kerberos/LDAP am 21./22.04.2005 in Tübingen |
http://www.guug.de/veranstaltungen/kerberos-ldap-2005/index.html 2010-09-10 |
21./22. April 2005 in Tübingen
[Der Workshop im Überblick] [Der Workshop im Detail] [Referenten] [Organisatorisches]
Nach dem großen Erfolg des gleichnamigen Workshops auf dem GUUG-Frühjahrsfachgespräch 2005 hat die science+computing AG angeboten, diesen für GUUG-Mitglieder noch einmal in ihren Räumlichkeiten anzubieten.
Der Workshop beschäftigt sich mit der Authentisierung über Kerberos und der Benutzerverwaltung über LDAP. Er erstreckt sich über zwei Tage, wobei jedes der Themen jeweils den Schwerpunkt eines Tages darstellt.
Zielgruppe des Workshops sind Administratoren reiner Linux Netze oder gemischter Linux/Windows Umgebungen. Vorausgesetzt werden Linux Administrationserfahrung, Netzwerkerfahrung, sowie ein Grundverständnis symmetrischer und asymmetrischer kryptographischer Verfahren.
Am Anfang jedes Workshop-Tages wird in einem ca. zweistündigen Vortrag ein Überblick über das Thema gegeben, das dann den Rest des Tages von den Teilnehmern praktisch umgesetzt wird, begleitet von kurzen theoretischen Erläuterungen.
Der Vortrag beschäftigt sich mit den Design-Zielen von Kerberos, den Rahmenbedingungen, denen diese Ziele unterliegen, sowie mit der tatsächlichen Umsetzung in Kerberos V.
Zentraler Inhalt des Konzeptes hinter Kerberos ist ein Single-Sign-On. Dabei kann ein Benutzer, nachdem er sich lokal an einer Workstation mit seinem Passwort angemeldet hat, auf Netzwerk-Dienste zugreifen, ohne erneut ein Passwort angeben zu müssen.
Im Vortrag wird entwickelt, wie man dieses Ziel eines Single-Sign-On umsetzen kann, welche Probleme dabei auftreten, und wie man diese mit kryptographischen Methoden bei Kerberos V gelöst hat.
Unter debian Linux setzen die Teilnehmer in Zweiergruppen einen Kerberos Authentisierungsdienst auf (Key-Distribution-Center, KDC).
Die Authentisierung einer Linux-Workstation wird über die PAM in die Kerberos Realm integriert, ebenso wird eine Windows-XP-Workstation eingebunden.
Zusätzlich zum integrierten Login wird am Beispiel des Web-Servers Apache eine Anwendung kerberisiert. Als Clients stehen Mozilla 1.8 und IE 6 zur Verfügung.
Zunächst wird in einem Überblick über die LDAP Entwicklungsgeschichte die Verwandtschaft zum X500 Verzeichnisdienst dargestellt. Daraus werden Gemeinsamkeiten und Unterschiede zwischen LDAP und X500 entwickelt.
Darauf aufbauend werden die Stärken und Schwächen eines so allgemeinen Verzeichnisses dargestellt. Kerninhalte stellen Delegation und Replikation dar.
Zum Schluss werden Einsatzmöglichkeiten und konkrete Probleme von LDAP als Verzeichnisdienst vorgestellt.
Unter debian Linux setzen die Teilnehmer in Zweiergruppen einen openLDAP Server auf und populieren ihn mit Kommandozeilen- und grafischen Werkzeugen.
Dann wird der Netzwerkzugriff auf den Server über TLS abgesichert, dazu ist ein kurzer Exkurs über Zertifikatmanagement mit openssl notwenig. Im Anschluss daran replizieren die Teilnehmer ihren Server zur Erhöhung der Verfügbarkeit des Verzeichnisses. Abschließend wird der Zugriff auf den LDAP Dienst kerberisiert.
Als Anwendung der aufgebauten LDAP Infrastruktur steht den Teilnehmern die Adressbuchfunktion im Mozilla zur Verfügung, außerdem kann das Benutzerverzeichnis der Linux-Workstation an LDAP angebunden werden. Damit wird der erste Tag abgerundet, da Kerberos ausschließlich ein Authentisierungsdienst ist und Benutzerdaten zwingend aus einem Verzeichnisdienst wie LDAP oder NIS+ bezogen werden müssen.
Joachim Keltsch hat an der Universität Stuttgart Physik studiert und arbeitet seit 1996 im IT-Service der science+computing AG in Tübingen. Er ist dort seitdem auf den Gebieten Konzeption und Systemmanagement großer heterogener Rechnernetze tätig.
Außerdem engagiert er sich im Bereich Trainingsentwicklung und Durchführung von IT Schulungen. In diesem Umfeld war er unter anderem 2000 für ein halbjähriges Traineeprogramm verantwortlich, das s+c zur Qualifikation neuer Mitarbeiter durchführte.
Seitdem hat sich sein Schwerpunkt zu Open-Source-Migrationsprojekten und der Beobachtung, Evaluierung und Entwicklung neuer Methoden und Konzepte im IT-Service verlagert.
Erste Erfahrungen mit Kerberos hatte er bereits 1992 bei der Systemadministration einer AFS Umgebung gesammelt. Mit LDAP beschäftigt er sich seit 2 Jahren im Zusammenhang mit Samba Migrationsprojekten.
Mark Pröhl beendete im Januar 1999 sein Physikstudium an der Universität in Tübingen mit einer Diplomarbeit am Institut für Theoretische Physik. Seine dort gesammelten Kenntnisse in der Systemadministration setzt er seit dem 1.April 1999 bei s+c im Geschäftsbereich IT-Service Tübingen ein. Dort befasst er sich vor allem mit Betrieb und Konzeption heterogener Unix/Linux/Windows- Umgebungen und so auch intensiv mit den Infrastruktur-Komponenten Samba, LDAP und Kerberos.
Michael Weiser hat sein Studium an der Hochschule für Technik, Wirtschaft und Kultur Leipzig als Diplominformatiker (FH) abgeschlossen. Dazu gehörte auch ein integriertes Auslandsstudium am Bolton Institute in Bolton, Lancashire, UK mit dem Abschluß BA/BSc (Bachelor). Berufserfahrung sammelte er seit 1996 durch die Administration mehrerer Rechnerlaboratorien für Produktion und Ausbildung vernetzt mit Linux, SGI IRIX, Sun Solaris, Novell Netware und NeXTstep mit besonderer Ausrichtung auf Sicherheit. Später durch seine Arbeit als UNIX Systemadministrator am Bolton Institute mit Fokus auf Linux, Sun Solaris, HP-UX und Hochverfügbarkeit.