SSH-Authentifizierung über eine ADS mittels Kerberos 5

Roland Mohl19. Juli 2007

04/26/23 roland.mohl@rrze.uni-erlangen.de 2 SSH-Authentifizierung über eine ADS mittels Kerberos 5

Inhalt

Ausgangssituation am RRZE

Zielsetzung des Projekts

Beschreibung der Testumgebung

Funktionsweise von Kerberos 5

Durchführung

Test des Gesamtsystems

Fazit

04/26/23 roland.mohl@rrze.uni-erlangen.de 3 SSH-Authentifizierung über eine ADS mittels Kerberos 5

Ausgangssituation am RRZE

Netzwerkdienste in einer heterogenen Umgebung

Authentifizierung für jeden Netzwerkdienst

Ablage der Benutzerdaten auf jedem der Dienstserver

Oftmals gleiches Passwort für alle Dienste aus Bequemlichkeit

Dienste mit unverschlüsselter Übertragung von Benutzerdaten

04/26/23 roland.mohl@rrze.uni-erlangen.de 4 SSH-Authentifizierung über eine ADS mittels Kerberos 5

Zielsetzung des Projekts

Einfacheres Arbeiten durch SingleSignOn und Erhöhung der Sicherheit

Zentrale Benutzerverwaltung (Active Directory)

Nur verschlüsselte Übertragung von Benutzerdaten

Test eines Gesamtsystems mit Kerberos 5, Active Directory und einem SSH-Dienst

Test anhand eines SSH-Dienstes auf einem SLES10

SSH-Zugriff von fünf Windows XP Clients aus

04/26/23 roland.mohl@rrze.uni-erlangen.de 5 SSH-Authentifizierung über eine ADS mittels Kerberos 5

Beschreibung der Testumgebung

Vorhandene Komponenten der Testumgebung VMware-Host vmware1 BIND DNS-Server auf einem SLES10

Zusätzliche Komponenten Zwei Windows 2003 Server für ADS- und DNS-Dienst SLES10 für SSH-Dienst Fünf Windows XP Clients

04/26/23 roland.mohl@rrze.uni-erlangen.de 6 SSH-Authentifizierung über eine ADS mittels Kerberos 5

Funktionsweise von Kerberos 5

Kerberos-Server

Key Distribution Center (KDC)

Benutzerdatenbank Ticket Granting Service (TGS)

Client

2. User X + Passwort = OK 5. User X mit TGT darf Dienst nutzen

1. Anfrage nach TGTUser XPasswort

3. Antwort TGT

4. Anfrage ST

mit TGT

6. Antwort ST

Dienst-Server

7. Anfrage nach Service

mit ST9. Erlaubnis für Dienst

04/26/23 roland.mohl@rrze.uni-erlangen.de 7 SSH-Authentifizierung über eine ADS mittels Kerberos 5

Durchführung – Vorbereitung und MS-Komponenten

Vorbereitung aller Komponenten Kopieren und Konfigurieren der VMware-Images Grundkonfiguration

Aufsetzen der zwei Windows-2003-Server Installation des Active Directory Service per Skript DNS-Konfiguration

Aufsetzen der Windows-XP-Clients Einbinden in das Active Directory Installation von Putty (kerberized)

04/26/23 roland.mohl@rrze.uni-erlangen.de 8 SSH-Authentifizierung über eine ADS mittels Kerberos 5

Durchführung – SSH-Dienst

Aufsetzen des SLES10 Installation der Kerberos-Pakete krb5 und krbclient Konfigurieren des Kerberos-Clients Konfigurieren des SSH-Dienstes

Exportieren der Keytabs User in der ADS Tool ktpass der Support-Tools des Windows 2003 Servers

Importieren der Keytabs am SSH-Server Keytabs einlesen Eingelesene Daten in Standard-Keytab schreiben

04/26/23 roland.mohl@rrze.uni-erlangen.de 9 SSH-Authentifizierung über eine ADS mittels Kerberos 5

Test des Gesamtsystems

Anmeldung an Domäne an SSH-Dienst per SingleSignOn

Ausfall des primären Domaincontrollers Anmelden an die Domäne SSH-Anmeldung per SingleSignOn

Überprüfung der Tickets mit den Tools Kerbtray (Windows) Klist (Linux)

04/26/23 roland.mohl@rrze.uni-erlangen.de 10 SSH-Authentifizierung über eine ADS mittels Kerberos 5

Kerbtray

04/26/23 roland.mohl@rrze.uni-erlangen.de 11 SSH-Authentifizierung über eine ADS mittels Kerberos 5

Fazit

Keine zusätzlichen Kosten für Software

Schnelle und einfache Integration in realen Betrieb durch die gesammelten Erfahrungen

Mehr Komfort für Nutzer beim Arbeiten

Erhöhung der Sicherheit bei Authentifizierungen

Das Projekt war ein voller Erfolg

04/26/23 roland.mohl@rrze.uni-erlangen.de 12 SSH-Authentifizierung über eine ADS mittels Kerberos 5

Vielen Dank für Ihre Aufmerksamkeit!

Danke!