SSH-Authentifizierung über eine ADS mittels Kerberos 5 Roland Mohl 19. Juli 2007

SSH-Authentifizierung über eine ADS mittels Kerberos 5 Inhalt  Ausgangssituation am RRZE  Zielsetzung des Projekts  Beschreibung der Testumgebung  Funktionsweise von Kerberos 5  Durchführung  Test des Gesamtsystems  Fazit

SSH-Authentifizierung über eine ADS mittels Kerberos 5 Ausgangssituation am RRZE  Netzwerkdienste in einer heterogenen Umgebung  Authentifizierung für jeden Netzwerkdienst  Ablage der Benutzerdaten auf jedem der Dienstserver  Oftmals gleiches Passwort für alle Dienste aus Bequemlichkeit  Dienste mit unverschlüsselter Übertragung von Benutzerdaten

SSH-Authentifizierung über eine ADS mittels Kerberos 5 Zielsetzung des Projekts  Einfacheres Arbeiten durch SingleSignOn und Erhöhung der Sicherheit  Zentrale Benutzerverwaltung (Active Directory)  Nur verschlüsselte Übertragung von Benutzerdaten  Test eines Gesamtsystems mit Kerberos 5, Active Directory und einem SSH-Dienst  Test anhand eines SSH-Dienstes auf einem SLES10  SSH-Zugriff von fünf Windows XP Clients aus

SSH-Authentifizierung über eine ADS mittels Kerberos 5 Beschreibung der Testumgebung  Vorhandene Komponenten der Testumgebung  VMware-Host vmware1  BIND DNS-Server auf einem SLES10  Zusätzliche Komponenten  Zwei Windows 2003 Server für ADS- und DNS-Dienst  SLES10 für SSH-Dienst  Fünf Windows XP Clients

SSH-Authentifizierung über eine ADS mittels Kerberos 5 Funktionsweise von Kerberos 5 Kerberos-Server Key Distribution Center (KDC) Benutzerdatenbank Ticket Granting Service (TGS) Client 2. User X + Passwort = OK 5. User X mit TGT darf Dienst nutzen 1. Anfrage nach TGT User X Passwort 3. Antwort TGT 4. Anfrage ST mit TGT 6. Antwort ST Dienst-Server 7. Anfrage nach Service mit ST 9. Erlaubnis für Dienst

SSH-Authentifizierung über eine ADS mittels Kerberos 5 Durchführung – Vorbereitung und MS-Komponenten  Vorbereitung aller Komponenten  Kopieren und Konfigurieren der VMware-Images  Grundkonfiguration  Aufsetzen der zwei Windows-2003-Server  Installation des Active Directory Service per Skript  DNS-Konfiguration  Aufsetzen der Windows-XP-Clients  Einbinden in das Active Directory  Installation von Putty (kerberized)

SSH-Authentifizierung über eine ADS mittels Kerberos 5 Durchführung – SSH-Dienst  Aufsetzen des SLES10  Installation der Kerberos-Pakete krb5 und krbclient  Konfigurieren des Kerberos-Clients  Konfigurieren des SSH-Dienstes  Exportieren der Keytabs  User in der ADS  Tool ktpass der Support-Tools des Windows 2003 Servers  Importieren der Keytabs am SSH-Server  Keytabs einlesen  Eingelesene Daten in Standard-Keytab schreiben

SSH-Authentifizierung über eine ADS mittels Kerberos 5 Test des Gesamtsystems  Anmeldung  an Domäne  an SSH-Dienst per SingleSignOn  Ausfall des primären Domaincontrollers  Anmelden an die Domäne  SSH-Anmeldung per SingleSignOn  Überprüfung der Tickets mit den Tools  Kerbtray (Windows)  Klist (Linux)

SSH-Authentifizierung über eine ADS mittels Kerberos 5 Kerbtray

SSH-Authentifizierung über eine ADS mittels Kerberos 5 Fazit  Keine zusätzlichen Kosten für Software  Schnelle und einfache Integration in realen Betrieb durch die gesammelten Erfahrungen  Mehr Komfort für Nutzer beim Arbeiten  Erhöhung der Sicherheit bei Authentifizierungen  Das Projekt war ein voller Erfolg

SSH-Authentifizierung über eine ADS mittels Kerberos 5 Vielen Dank für Ihre Aufmerksamkeit! Danke!