3.4. Kerberos#
Nubus für UCS nutzt Kerberos, um Benutzer und Dienste in Ihrer Domäne zu authentifizieren. In diesem Abschnitt werden die Funktionsweise von Kerberos, die Konfiguration des Realms und die Implementierung von Nubus für UCS behandelt.
3.4.1. Funktionsweise von Kerberos#
Das Key Distribution Center (KDC) ist die zentrale Vertrauensinstanz in einem Kerberos-Netzwerk. Wenn Sie sich anmelden, stellt das KDC ein Ticket aus, das Zugriff auf andere Dienste im Kerberos-Realm gewährt.
Tickets sind standardmäßig 8 Stunden lang gültig.
Wichtig
Alle Systeme im Kerberos-Realm müssen synchronisierte Uhren haben. Zeitabweichungen führen zu Authentifizierungsfehlern.
3.4.2. Kerberos-Realm#
Der Name des Kerberos-Realm leitet sich von Ihrem Domänennamen ab. Das Installationsprogramm speichert ihn in der UCR variable kerberos/realm.
Warnung
Sie können den Namen des Kerberos-Realm nach der Installation nicht ändern. Wählen Sie den Namen für den Realm sorgfältig.
3.4.3. Kerberos-Implementierung in Nubus für UCS#
Nubus für UCS nutzt die Kerberos-Implementierung Heimdal. Auf UCS Directory Nodes ohne Samba/AD wird Heimdal als eigenständiger Dienst ausgeführt. Auf Samba/AD Domain Controllern stellt Samba Kerberos über seine integrierte Heimdal-Version bereit.
Sowohl UCS Directory Nodes als auch Samba/AD Domain Controller greifen auf die gleichen Kerberos-Daten zu. Der Univention S4 Connector synchronisiert zwischen Samba/AD und OpenLDAP. Weitere Informationen finden Sie unter Univention S4 Connector.
3.4.4. KDC Auswahl#
Standardmäßig bestimmen DNS-Service-Records, welchen KDC Ihr System nutzt. Um den KDC für ein bestimmtes System zu überschreiben, legen Sie die UCR variable kerberos/kdc fest.
Wenn Sie Samba/AD auf einem Domänenmitglied installieren, ändert sich der DNS-Service-Record, um nur die Samba/AD KDCs anzuzeigen. Verwenden Sie in einer gemischten Umgebung nur die Samba/AD KDCs.
3.4.5. Kerberos-Administrations-Server#
Der Kerberos-Administrations-Server wird auf dem Primary Directory Node ausgeführt. Er verwaltet die administrativen Einstellungen für die Domäne. Da Nubus für UCS die meisten Einstellungen direkt aus dem LDAP-Verzeichnis liest, verwaltet der Server hauptsächlich Passwörter.
Verwenden Sie kpasswd, um Passwörter zu ändern. Dieses Tool aktualisiert auch das Passwort in LDAP.
Um den Administrations-Server zu konfigurieren, legen Sie die UCR variable kerberos/adminserver fest.