3.6. Kerberos#
Kerberos ist ein Authentifikationsverfahren um in verteilten Netzen über potentiell unsichere Verbindungen eine sichere Identifikation zu erlauben. Alle Clients verwenden dabei eine gemeinsame Vertrauensbasis, das Key Distribution Centre (KDC). Ein Client authentifiziert sich bei diesem KDC und erhält ein Authentifizierungstoken, das sogenannte Ticket, das zur Authentizierung innerhalb einer Kerberos-Umgebung (der sogenannten Kerberos Realm) verwendet werden kann. Der Name der Kerberos Realm wird im Rahmen der Installation des Primary Directory Node konfiguriert und in der Univention Configuration Registry Variable kerberos/realm
gespeichert. Der Name der Kerberos-Realm kann nachträglich nicht angepasst werden.
Tickets sind standardmäßig acht Stunden gültig; für eine Kerberos-Domäne ist deshalb eine synchrone Systemzeit zwischen den Systemen der Kerberos Realm essentiell.
In Univention Corporate Server wird die Kerberos-Implementierung Heimdal verwendet. Auf UCS Directory Nodes ohne Samba/AD wird ein eigenständiger Heimdal-Dienst gestartet, während auf Samba/AD-DCs Kerberos durch eine in Samba integrierte Heimdal-Version bereitgestellt wird. Verwendet man eine gemischte Umgebung aus UCS Directory Nodes mit Samba/AD und UCS Directory Nodes ohne Samba/AD, so basieren beide Kerberos-Umgebungen auf identischen Daten (diese werden zwischen Samba/AD und OpenLDAP durch den Univention S4 Connector synchronisiert (siehe Univention S4 Connector)).
3.6.1. KDC Auswahl#
Standardmäßig wird der KDC über einen DNS-Servicerecord ausgewählt. Der von einem System verwendete KDC kann durch die Univention Configuration Registry Variable kerberos/kdc
umkonfiguriert werden. Wird Samba/AD auf einem System der Domäne installiert, wird der Servicerecord umkonfiguriert, so dass nur noch die KDCs auf Samba/AD-Basis angeboten werden. In einer gemischten Umgebung ist es empfehlenswert nur noch die Samba/AD-KDCs zu verwenden.
3.6.2. Kerberos Adminserver#
Auf dem Primary Directory Node läuft der Kerberos-Adminserver, auf dem administrative Einstellungen der Domäne vorgenommen werden können. Die meisten Einstellungen werden in Univention Corporate Server aus dem LDAP-Verzeichnis bezogen, so dass die wichtigste verbleibende Funktion das Ändern von Passwörtern darstellt. Diese können durch das Tool kpasswd geändert werden und werden dann auch im LDAP verändert. Der Kerberos Adminserver kann auf einem System durch die Univention Configuration Registry Variable kerberos/adminserver
konfiguriert werden.